Norska berg

TOMRA: 27 juli – uppdatering om cyberattacken

Den 16 juli upptäckte TOMRA en cyberattack mot företaget. Utredningen har visat att vissa system har påverkats av attacken och ytterligare system har proaktivt kopplats bort för att begränsa attacken. Ett team av interna och externa resurser arbetar dygnet runt för att etablera alternativa lösningar och återuppta normal drift.

Idag släpper vi ytterligare information om cyberattackens karaktär. Statusen för våra externa tjänster påminner om den senaste uppdateringen från den 25 juli och vi har fortsatt att göra framsteg med återanslutningen av returautomater. TOMRA fortsätter att leverera våra tjänster till kunderna och minimerar den påverkan som attacken har på dem.

Vi utreder fortfarande cyberattacken och kommer att fortsätta att tillhandahålla information i takt med att utredningen och återställningen fortskrider. Hittills har Microsoft analyserat Azure-plattformen och vi har utredarteam på plats från Deloitte och TOMRA i Norge, USA, Kanada, Tyskland och Nya Zeeland. I denna uppdatering delar vi med oss av vad vi vet idag och vi vill understryka att detta inte ger en fullständig och slutgiltig bild av vad som har hänt.

Attackens mål

Baserat på den utredning vi har gjort så här långt så ser vi att hotaktören var inriktad på TOMRA:s domän och TOMRA:s interna system. Vi har inte identifierat att några TOMRA-kunder har blivit utsatta eller drabbade. Ingen konfidentiell information har identifierats som läckt och vi ser inga bevis på kryptering av data – och vi har inte heller fått några krav om lösensumma.

Tidsram för attacken

Våra utredningar visar för närvarande att hotaktören påbörjade sin rekognoseringsfas den 10 juli och inledde den operativa fasen den 15 juli. Söndagen den 16 juli 05:51 CET upptäckte TOMRA Security Operations misstänkt aktivitet kopplad till vår anläggning i Montreal. När detta upptäcktes började TOMRA Security Operations proaktivt stänga ner tjänster och koppla ner webbplatser för att begränsa attacken.

Attackens utveckling

Vi har identifierat att hotaktören eskalerade behörigheter och använde Windows inbyggda verktyg för att ta sig vidare lateralt och utföra skadliga åtgärder på målsystemen. Bland annat skapades bakdörrar och lösenord ändrades. Under utredningarna har vi identifierat tekniska indikatorer för vilka verktyg som används av hotaktören och vi har fått en förståelse för teknikerna för att utnyttja våra system.

Undersökning

Angriparnas ursprung och identitet är inte klarlagd men vi har ledtrådar som vi följer upp. Vi arbetar tillsammans med myndigheter och tillsynsmyndigheter på relevanta marknader.

Lite teknisk information om attacken

  • Hotaktören har använt inbyggd Windows-funktionalitet, skadliga powershell-laster och skadliga binärfiler för att utnyttja system och skapa kommando- och kontrollkanaler.
  • Skadliga aktiviteter har identifierats inom följande områden: Windows- och VMware-miljöer på plats och i Azure. För närvarande har påverkade lokala system identifierats i Kanada, USA och Norge.
  • Några exempel på verktyg som används av hotaktören är legitima lösenord, kallstartsattacker och bakdörrsapplikationer.

TOMRA:s team arbetar outtröttligt för att hantera situationen. Dessutom får företaget stöd av ett globalt team från Deloitte som säkerställer hög kompetens och resurstillgänglighet globalt. Teamet kommer att fortsätta arbeta tills situationen är löst.