Ransomware LockerGoga đang khiến một tập đoàn lớn khốn đốn

Norsk Hydro - một trong những tập đoàn sản xuất nhôm và năng lượng tái tạo lớn nhất thế giới có trụ sở tại Oslo, Nauy, đã buộc phải tạm dừng hầu hết các dây chuyền sản xuất của mình và chuyển sang hoạt động thủ công một phần do cuộc tấn công mạng được cho là có liên quan đến mã độc LockerGoga.

Cụ thể hơn, đại diện ban lãnh đạo Norsk Hydro mới đây đã chính thức đưa ra thông báo rằng đội ngũ công nghệ thông tin của công ty đã bắt tay vào phân tích kỹ lưỡng vụ việc và phát hiện ra rằng đây thực chất là một cuộc tấn công mạng trên diện rộng có tên CET, nhắm mục tiêu đến hệ thống máy tính của nhiều doanh nghiệp ở hầu hết các lĩnh vực kinh doanh khác nhau, với nòng cốt là mã độc LockerGoga. Và Norsk Hydro đã chính thức trở thành nạn nhân của cuộc tấn công này vào rạng sáng ngày thứ hai 18/3 vừa qua.

LockerGoga là một ransomware tương đối mới, nhưng thiệt hại mà mã độc này ngây ra lại không hề nhỏ chút nào và theo dự báo danh sách nạn nhân sẽ vẫn còn tiếp tục tăng lên trong thời gian tới. LockerGoga đã thu hút sự chú ý của giới quan sát vào giữa tháng 1 khi được nhận diện là tác nhân chính trong cuộc tấn công nhắm đến Altran Technologies, một công ty tư vấn kỹ thuật chuyên nghiệp hoạt động ở cấp độ toàn cầu, có trụ sở tại Paris, Pháp.

• Nếu sử dụng điện thoại Android, hãy cẩn thận: Bạn có thể đang bị theo dõi mà không biết

NorCERT cảnh báo các công ty về những cuộc tấn công LockerGoga

Theo cơ quan truyền thông Chính phủ Nauy NRK, cơ quan an ninh mạng NorCERT đã đưa ra cảnh báo ở cấp độ nguy hiểm đối với một số đối tác của họ về các vụ tấn công dựa trên ransomware LockerGoga, và Norsk Hydro là một trong những nạn nhân mới nhất của mã độc này.

Thông báo từ cơ quan an ninh mạng của Na Uy cũng cho biết rằng cuộc tấn công này có liên quan đến Active Directory - được sử dụng để xác thực và ủy quyền cho tất cả người dùng và hệ thống trên mạng miền Windows:

"Theo phân tích từ NorCERT, Norsk Hydro đã phải đối mặt với một cuộc tấn công LockerGoga, được kết hợp với một cuộc tấn công khác hướng vào Active Directory (AD)".

Tuy nhiên, nhà nghiên cứu bảo mật dạn dày kinh nghiệm Håkon Bergsjø, người đứng đầu NorCERT, để ngỏ khả năng khẳng định chắc chắn rằng liệu đây có phải là một cuộc tấn công với chủ đích nhắm tới các máy chủ Active Directory của Norsk Hydro hay không.

• Counter-Strike 1.6 xuất hiện Zero-Day mới, cho phép máy chủ độc hại hack máy tính game thủ

Theo một tin tức liên quan, trong khuôn khổ cuộc họp báo kéo dài 18 phút diễn ra vào ngày 19/3, giám đốc cơ quan an ninh mạng Na Uy đã từ chối công khai thủ phạm thực sự đứng đằng sau vụ tấn công vào Norsk Hydro. Tuy nhiên, hệ thống của công ty bị lây nhiễm ransomware LockerGoga là một vụ việc nghiêm trọng và cần được phân tích kỹ lưỡng.

Thông tin về phần mềm độc hại này hiện được thu thập thông qua sự hợp tác ở cả cấp quốc gia lẫn quốc tế.

Norsk Hydro giữ im lặng trước những câu hỏi về chi tiết cuộc tấn công

Trong các tuyên bố công khai được đưa ra, phía Norsk Hydro đã từ chối bình luận về bản chất của cuộc tấn công nhưng mô tả sự việc đang diễn ra là “thực sự nghiêm trọng", đồng thời cho biết đội ngũ của công ty "đang làm việc nghiêm túc để ngăn chặn và vô hiệu hóa cuộc tấn công", đương nhiên là kết hợp với cả những sự giúp đỡ từ các tổ chức bảo mật bên ngoài.

Về tình hình sản xuất, Norsk Hydro đã gửi báo cáo cho các cơ quan hữu quan và thông báo đến những người quan tâm trong một status chính thức trên Facebook rằng họ "đang chuyển sang vận hành thủ công nếu có thể".

• DDoS được xếp hạng là mối đe dọa hàng đầu đối với các doanh nghiệp trong năm 2018

Eivind Kallevik, CFO của Norsk Hydro đã chính thức xác nhận việc hệ thống của công ty bị nhiễm ransomware LockerGoga trong cuộc họp báo, và mô tả tình hình ở thời điểm hiện tại là "khá nghiêm trọng”. Bên cạnh đó, vị CFO cũng nói thêm rằng các giải pháp sao lưu phù hợp đã được áp dụng, và chiến lược chính của công ty lúc này là dựa vào các giải pháp sao lưu để khôi phục lại dữ liệu, giúp dây chuyền sản xuất trở lại hoạt động bình thường, đồng thời tránh phải trả tiền chuộc cho những kẻ tấn công.

Theo CFO Eivind Kallevik, đã có thiệt hại về mặt tài chính được ghi nhận, nhưng không đến nỗi quá nghiêm trọng hay có thể trở thành “thảm họa" với công ty. Một số cơ sở sản xuất của Norsk Hydro hiện đang hoạt động ở chế độ thủ công, trong đó ngụ ý rằng thay vì sử dụng máy móc, hiện số lượng nhân công làm việc trong một ca sẽ được tăng cường, đồng thời cũng sẽ có nhiều ca làm việc hơn.

Hiện tại, Norsk Hydro cho biết họ vẫn đủ khả năng xử lý tất cả các đơn đặt hàng của đối tác và giao hàng đúng hạn. Tuy nhiên, các thỏa thuận kinh doanh trong tương lai có thể bị ảnh hưởng vì toàn bộ hệ thống mạng của công ty hiện đang ngừng hoạt động - trang web của công ty hiển thị lỗi 404... Cho đến khi vấn đề được giải quyết, các nhân viên của Norsk Hydro đã được thông báo về việc công ty sẽ duy trì hoạt động sản xuất 24/7. Ưu tiên chính tại thời điểm này là đảm bảo hoạt động an toàn, hạn chế tác động về tài chính và triển khai các biện pháp thích hợp để “dọn sạch” các máy chủ bị nhiễm mã độc, đồng thời cài đặt lại chúng từ những bản sao lưu.

• Các tổ chức có thể làm được gì để bảo vệ mình trước những cuộc tấn công mạng?

Hiện không có dấu hiệu nào cho thấy các nhà máy nằm bên ngoài lãnh thổ Na Uy của Norsk Hydro bị ảnh hưởng bởi sự cố này vì tất cả chúng đều đã được cách ly khỏi mạng lưới toàn cầu của công ty.

Vụ việc của Norsk Hydro chỉ là một phần trong chiến dịch tấn công mạng quy mô lớn, ảnh hưởng đến hoạt động ở một số khu vực kinh doanh trên toàn thế giới.