A empresa Norsk Hydro, décimo maior produtor de alumínio do mundo e segunda maior empresa em número de funcionários na Noruega, ainda não se recuperou do ataque do ransomware LockerGoga, anunciado terça-feira. No seu comunicado de hoje sobre o assunto, a empresa diz que “com uma abordagem sistemática, nossos especialistas estão, passo a passo, restaurando funções críticas de TI para garantir produção estável, atender nossos clientes e limitar o impacto financeiro. A raiz dos problemas foi detectada, uma cura foi identificada e, juntamente com parceiros externos, incluindo autoridades de segurança nacional, os especialistas da Hydro estão trabalhando para reverter os sistemas infectados por vírus para um estado pré-infectado”.
Gravidade
Não está escrito mas todo mundo consegue ler o seguinte: a encrenca foi MUITO feia e o conserto ainda pode demorar, mesmo a empresa tendo um plano de recuperação de desastres, conforme é reconhecido por especialistas. Foi um azar da nova CEO Hilde Merete Aasheim, que tomou posse dia 15.
Os problemas se tornaram públicos às 8:30 da manhã de terça-feira, quando a empresa fez a comunicação do fato à bolsa de valores de Oslo, admitindo que “os sistemas de TI na maioria das áreas de negócios estão afetados e a Hydro está mudando as operações para o modo manual, tanto quanto possível”. Na terça-feira ainda houve mais três comunidados de atualização para os investidores descrevendo a situação e uma entrevista coletiva conjunta do CFO da empresa, Eivind Kallevik, e da CSO da Hydro. Eles admitiram que a situação era bastante grave e que por isso os sistemas da Noruega haviam sido isolados para não contaminarem os das outras operações. Entre elas as operações da brasileira Alunorte, em Barcarena, Pará. Daquele momento em diante, grande parte da operação da Hydro passou a ser feita manualmente, porque o religamento de sistemas ampliava o risco de contaminação.
Foi pelo AD
Segundo o especialista Kevin Beaumont, o LockerGoga atacou em janeiro a empresa de enegenharia francesa Altran e provavelmente se espalhou com a ajuda do Active Directory. “Pensando como um invasor, se você tiver em mãos o administrador de domínio, coloca o ‘.exe’ na pasta ‘Netlogon’ e ele se propaga automaticamente para cada Controlador de Domínio. Em seguida, cria uma política de grupo (GPO) para ser executada em cada PC e servidor no nível superior”.
Apesar da gravidade da situação, a diretoria e o conselho da Rádio decidiram não pagar o resgate pedido pelo ransomware.
No seu relatório anual de 2018, publicado seis dias antes (quarta-feira da semana passada), a Hydro coloca os cyber ataques em oitavo lugar na lista dos maiores riscos reconhecidos para a operação da companhia. No mesmo documento, a empresa informa que em 2018 foi intensificado o treinamento dos funcionários para ficarem alertas aos ciberataques.
