Norsk Hydro, le géant de l’aluminium norvégien, paralysé par une cyberattaque

25 mars 20193 min

Le norvégien Norsk Hydro, l’un des plus grands producteurs d’aluminium en Europe, a été victime d’une cyberattaque massive le 18 mars 2019.

Le géant norvégien de l’aluminium Norsk Hydro a révélé mardi 19 mars 2019 avoir été victime d’une cyberattaque de grande ampleur. Cette cyberattaque a impacté les systèmes informatiques de la plupart de ses activités. Ce qui l’a obligé à passer en mode manuel dans certains sites de production.

Le groupe annonçait ainsi le matin du 19 mars : « Les systèmes informatiques de la plupart des secteurs d’activité sont touchés et Hydro passe en mode manuel. »

LockerGoga, un ransomware ciblé

Dans l’après-midi du 19 mars, lors d’une conférence de presse, Norsk Hydro expliquait qu’il s’agissait d’une attaque par ransomware de type LockerGoga.

Selon Kaspersky Lab, spécialiste de la sécurité des système d’information, LockerGoga est un ransomware utilisé depuis janvier 2019 pour des attaques ciblées et non pour des campagnes massives.

« Ce logiciel est utilisé uniquement pour chiffrer certains fichiers présents sur le disque dur de l’ordinateur compromis. (…) Les victimes sont ensuite amenées à contacter les attaquants. Cela à l’aide de deux adresses de messagerie présentes dans le message demandant une rançon afin de pouvoir déchiffrer leurs fichiers. » 

C’est ce virus qui aurait infecté Altran, leader mondial des services d’ingénierie, le 28 janvier 2019.

Des experts Microsoft arrivent en renfort

Le jeudi 21 mars, Norsk Hydro annonçait dans un communiqué de presse que la cause principale était détectée et que les experts s’employaient à rétablir les systèmes infectés. Le groupe a fait appel à des experts de Microsoft pour renforcer les équipes sur place.

« Des experts de Microsoft et d’autres partenaires de la sécurité informatique se sont mobilisés pour aider Hydro à prendre toutes les mesures nécessaires (…) pour remettre les systèmes critiques en activité normale », confiait Jo De Vliegher, responsable des systèmes d’information de Norsk Hydro .

Le groupe a déclaré qu’il n’avait pas l’intention de payer la demande de rançon. Il dispose de sauvegarde de sécurité prêtes à être utilisées. Il reconnait cependant que cette cyberattaque a eu un impact majeur sur les systèmes informatiques de la production et de la partie administrative. Les usines basées en Europe et aux États-Unis ont été les plus impactées. En particulier les divisions qui produisent des produits en aluminium extrudé et laminé. Le 21 mars, elles ne fonctionnaient qu’à 50% de leur capacité.

L’attaque a été signalée au service national d’enquête norvégien (Kripos) et la police a ouvert une enquête.

Comment est diffusé LockerGoga ?

Kaspersky Lab explique que les attaquants ciblent des réseaux informatiques. Puis ils les infiltrent afin d’obtenir les pleins droits sur ces derniers. « Une fois les plein droits acquis, ils diffusent (…) à l’aide d’utilitaires, le ransomware LockerGoga sur l’ensemble des ressources du réseau (postes de travail et serveurs).

Selon L’informaticien, LockerGoga « modifie également les mots de passe systèmes sur les postes infectés. Il tente de désactiver les cartes réseau des machines afin de déconnecter le système de toute connexion externe, obligeant ainsi la victime à une restauration manuelle. »

Martine POREZ

Martine Porez
Journaliste

Les plus lus…

Inscrivez-vous
à notre
newsletter

Recevez toutes les actualités et informations sûreté, incendie et sécurité toutes les semaines.