Deze week verschenen er in de internationale media berichten over diverse organisaties die zijn getroffen door een nieuwe ransomwarecampagne met de naam LockerGoga. Via deze weg willen we je graag informeren over de recente cyberaanval met ransomware. Er zijn diverse Indicators of Compromise (IoC’s) beschikbaar die kunnen wijzen op de aanwezigheid van LockerGoga-malware. Om organisaties te ondersteunen in de detectie en preventie hebben we het document via een FERM-mailing naar de achterban gestuurd en delen we de IoC’s bij dezen ook via de website.

Je vindt de IoC’s op ferm-rotterdam.nl/documenten of rechtstreeks via deze link (PDF).

LockerGoga ransomware

LockerGoga is een vorm van ransomware die niet afhankelijk is van het gebruik van netwerkverkeer, domeinnaamsysteem of command- en control-servers, zo berichtte een onderzoeker van ArsTechnica. Die onafhankelijkheid maakt het voor LockerGoga mogelijk om veel netwerkverdedigingen te omzeilen.

De Noorse aluminiumfabrikant Norsk Hydro kwam in het kader van LockerGoga in het nieuws. Het wereldwijde netwerk werd platgelegd en installaties stopgezet of verstoord. De malware werd ontdekt op computers in de VS op maandagavond, maar op dinsdagochtend was het al verspreid naar andere onderdelen van het bedrijf, dat in 40 landen actief is.

Financieel directeur Eivind Kallevik heeft laten weten dat de aanval op het bedrijf inderdaad om een ransomwarevirus gaat en dat de nog onbekende aanvaller contact heeft opgenomen, maar nog geen losgeld heeft geëist. Het bedrijf werkt aan een oplossing en probeert data via back-ups terug te halen. Reuters en de Noorse omroep NRK zeggen te hebben begrepen dat het gaat om het LockerGoga-virus, dat volgens NRK eerder gebruikt werd bij een aanval tegen het Franse Altran, de internationale dienstverlener in R&D en engineering die eind januari werd getroffen.

Werkwijze en IoC’s

De aanpak voor de verspreiding van LockerGoga is nog niet volledig bekend, maar indicatoren wijzen erop dat de aanvaller van tevoren toegang heeft verkregen en naar de Active Directory is genavigeerd totdat hij een geprivilegieerd account heeft gekregen. Vervolgens lijkt dat account te worden gebruikt om een batchbestand te starten dat verschillende diensten zoals antivirus stopt en vervolgens de ransomware activeert om gegevens te versleutelen. In verschillende gevallen worden argumenten doorgegeven aan het binaire systeem, zoals ‘-m$emailaddress’, en dat emailadres wordt vervolgens getoond in de ransom note. Zodra de encryptie is gestart, wordt de gebruiker uitgelogd door logoff.exe uit te voeren en kan er niet meer ingelogd worden omdat het wachtwoord is overschreven.

We hebben aanleiding om aan te nemen dat de campagne ook in Nederland speelt. Gebruik daarom de beschikbare IoC’s die bijvoorbeeld kunnen helpen bij het blokkeren van potentiële afzenders en het herkennen/blokkeren van malafide verkeer.

Sluit je aan bij FERM

Blijf alert. Installeer updates en let op phishing mails. Gebruik MFA. En – voor alle bedrijven in de Rotterdamse haven – sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen, vragen kunt stellen aan de vertrouwde community om je heen, en ondersteund kunt worden in de stappen richting NIS2.

Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden
Aan deelname is altijd een kosteloze proefperiode van 3 maanden verbonden.
Ook krijg je direct en zonder voorwaarden een voucher van 500 euro voor diensten uit ons portfolio.

En wist je dat je als participant mee kunt doen aan onze cybercrisistrainingen in mei en Cybernautics-FERM in juni? Volgens experts uit het veld is de waarde van de training en de oefening gelijk aan het tienvoudige van je deelname aan FERM. Directe value for money dus! | Lees meer op ferm-rotterdam.nl/cybernautics

Vind FERM ook op LinkedIn | Twitter

Deel dit bericht