L’industriel Norsk hydro victime d’un ransomware, avec une attaque probable sur Active Directory

Le groupe norvégien Norsk Hydro, spécialiste de la production et du recyclage d’aluminium, vient d’indiquer, sur son compte Facebook, être victime d’une « vaste cyber-attaque » depuis ce lundi 18 mars au soir. Il explique que « l’attaque a affecté les opérations de plusieurs activités de l’entreprise dans le monde entier. Les systèmes d’information dans la plupart des activités sont affectés et Hydro passe en manuel là où c’est possible. Les centrales électriques d’Hydro fonctionnent normalement sur des systèmes IT isolés ».

La presse locale indique de son côté que le Cert norvégien a émis une alerte à l’intention de « nombreux partenaires ». Selon celle-ci, « Hydro est exposé à une attaque par LockerGoga ». Lors d’une conférence de presse diffusée en direct sur Internet, la représentante du Cert local s’est toutefois refusée à confirmer l’information, évoquant « une théorie » parmi d’autres.

LockerGoga est soupçonné d’avoir affecté Altran, fin janvier. De son côté, l’ESN s’est refusée, jusqu’ici, à nommer le maliciel impliqué. Mais il y a plus, selon nos confrères locaux : dans sa note d’alerte, le Cert norvégien indiquerait que « l’attaque était combinée à une attaque sur Active Directory ». 

Courant février, deux experts du renseignement sur les menaces nous ont indiqué, sous couvert d’anonymat, que des données auraient été exfiltrées du système d’information d’Altran, et que le ransomware n’aurait été qu’un écran de fumée. L’ESN a plusieurs fois réfuté ces allégations et assuré « sur la base d’une analyse complète » par les experts appelés en renfort « qu’il n’y a eu aucun risque possible de contamination ni de propagation à ses clients, et qu’aucune donnée n’a été volée ou perdue ».

Si elle venait à être confirmée, la situation à laquelle est confrontée Norsk Hydro ne serait toutefois pas pleinement surprenante. Le mois dernier, Felix Aimé, analyste chez Kaspersky, le soulignait d’ailleurs : « ce qu’il faut retenir, c’est que des incidents minimes ou des malwares ‘tout venant’ peuvent ouvrir la porte à des attaques bien plus complexes ». Pire encore, « parfois, l’attaque par ransomware se produit des mois après la primo-infection. Ceci pousse à reconsidérer ‘la simple infection’ par du malware tout venant ». De son côté, Kevin Beaumont le souligne aujourd'hui : LockerGoga ne sait pas se répliquer sur un réseau; sa distribution rapide et massive implique probablement la mise en place de stratégies de groupes au niveau de l'annuaire. Et donc une atteinte en profondeur.

Note that the payload does not spread, for sure. It is very likely companies getting pwned are having it delivered by Active Directory Group Policy, e.g. scheduled tasks etc.

— Kevin Beaumont (@GossiTheDog) March 19, 2019

Lors de la conférence de presse organisée ce jour, le RSSI de Norsk Hydro, s’est refusé à indiquer le nombre de postes de travail compromis, mais a souligné que certaines activités impliquant le système d’information continuaient d’être conduites via tablettes et smartphones. A ce stade, la restauration à partir de sauvegardes est présentée comme la piste privilégiée, mais l’éventuel paiement de la rançon demandée n’a pas été explicitement exclu lors de la conférence de presse. Le groupe dispose d’une assurance contre le risque cyber. Aucune perspective de délai de retour à la normale n’a été précisée.