Le géant de l’aluminium Hydro victime d’un ransomware

Nous avons décrit de nombreux incidents ces dernières années, et il s’agissait notamment de ransomwares qui prennent pour cible certaines entreprises comme les hôpitaux, les transports en commun, voire les ordinateurs du gouvernement de tout un département. Puis les wipers sont apparus avec des épidémies comme WannaCry, ExPetr et Bad Rabbit qui se sont répandues dans les monde entier, et ont ruiné les opérations de nombreuses entreprises.

Heureusement, nous n’avons pas constaté d’événement d’une telle ampleur au cours de ces 12 derniers mois, mais cela ne signifie pas pour autant que les malfaiteurs ont jeté l’éponge. Le 19 mars, un de plus grands producteurs norvégiens d’aluminium au monde, Hydro, a communiqué avoir été victime d’un ransomware qui a affecté toute l’entreprise.

Attaque de Hydro : ce qu’il s’est passé

Selon les dires du porte-parole de Hydro, qui est intervenu lors d’une conférence de presse, l’équipe de sécurité a d’abord remarqué une activité inhabituelle sur les serveurs de l’entreprise vers minuit. Ils ont observé que l’infection était en train de se répandre, et ont essayé de la contenir. Ils n’y sont arrivés que partiellement. Le réseau global a été infecté pendant qu’ils isolaient les usines. Hydro n’a pas indiqué combien d’ordinateurs ont été touchés, mais avec plus de 35 000 employés, nous pouvons penser que ce chiffre est assez élevé.

L’équipe de Hydro travaille 24 heures sur 24, et 7 jours sur 7 pour résoudre cet incident, et elle a en partie réussi pour le moment. Les centrales électriques n’ont pas du tout été affectées parce qu’elles ont été isolées du réseau principal, ce qui est la meilleure méthode pour une infrastructure critique. En revanche, les fonderies n’ont pas été isolées et elles ont été de plus en plus automatisées au cours de ces dernières années. Certaines usines de fonte qui se trouvent en Norvège ont été affectées, et l’équipe a réussi à en rendre certaines totalement opérationnelles, même si elles utilisent désormais un mode plus lent et à moitié manuel. Pourtant, comme Hydro l’a dit, « l’incapacité à nous connecter aux systèmes de production a engendré des problèmes de production et des arrêts temporaires dans plusieurs usines ».

Malgré l’ampleur de l’attaque, les opérations de Hydro n’ont pas été complètement détruites. Même si les ordinateurs Windows ont été chiffrés et rendus complètement inutiles, les téléphones et tablettes qui ne sont pas sous Windows fonctionnent encore, ce qui permet aux employés de communiquer et de répondre aux besoins des entreprises. Il semblerait que l’infrastructure critique coûteuse, comme les cuves qui servent à produire l’aluminium et coûtent près de 10 millions d’euros chacune, n’ait pas été touchée par l’attaque. Cet incident de sécurité n’a pas causé de victime, ni de problème de sécurité. Hydro espère pouvoir récupérer toutes les données ayant été affectées grâce aux sauvegardes.

Analyse : aspects positifs et négatifs

Hydro a encore beaucoup de chemin à parcourir avant de rétablir complètement le fonctionnement de toutes ses opérations. Enquêter sur cet incident va demander beaucoup de temps et d’effort de la part d’Hydro et du gouvernement norvégien. Il n’y a pour l’instant aucun consensus sur l’identité du ransomware utilisé pour réaliser cette attaque, ou sur l’identité de la personne qui en serait à l’origine.

Les autorités disent avoir plusieurs hypothèses. Elles pensent, par exemple, que l’entreprise Hydro a été attaquée par le ransomware LockerGoga. Bleeping Computer le décrit comme « lent » (nos analystes sont d’accord avec cette description) et « désordonné », et ajoute qu’il « ne fait aucun effort pour éviter d’être détecté ». La demande de rançon ne mentionnait pas la somme exacte que les malfaiteurs souhaitaient recevoir pour déchiffrer les ordinateurs, mais partageaient une adresse que les victimes devaient contacter.

Même si l’analyse de l’incident n’est pas encore terminée, nous pouvons déjà voir ce que Hydro a bien fait et mal fait, avant et pendant l’incident.

Aspects positifs :

1. Les centrales électriques ont été isolées du réseau principal, et c’est pourquoi elles n’ont pas été affectées.
2. L’équipe de sécurité a pu isoler les fonderies assez rapidement, ce qui leur a permis de continuer à produire (à moitié en mode manuel dans la plupart des cas).
3. Le personnel pouvait communiquer normalement même après l’incident. Cela signifie probablement que le serveur de communication était suffisamment bien protégé pour éviter d’être touché par l’infection.
4. Hydro a des sauvegardes qui devrait permettre à l’entreprise de récupérer les données chiffrer et de poursuivre ses activités.
5. Hydro a une cyberassurance qui devrait couvrir une partie des coûts engendrés par cet incident.

Aspects négatifs :

1. Le réseau n’avait probablement pas été segmenté correctement, sinon il aurait été beaucoup plus facile d’arrêter la propagation du ransomware et de confiner l’attaque.
2. La solution de sécurité utilisée par Hydro n’était pas assez forte pour attraper le ransomware. Même s’il assez récent, LockerGoga est bien connu et Kaspersky Security, par exemple, le connaît comme Trojan-Ransom.Win32.Crypgen.afbf.
3. Ils auraient pu compléter leur solution de sécurité en installant un logiciel anti ransomware, comme notre programme gratuit Kaspersky Anti-Ransomware Tool. Il peut être installé en association avec d’autres solutions de sécurité, et peut protéger le système de n’importe quel ransomware, mineurs, ou autres programmes malveillants.