De recente aanval met de Shamoon-malware, die servers van bedrijven in Europa en het Midden-Oosten wiste, begon met verschillende nagemaakte vacaturesites van deze bedrijven. Dat laat anti-virusbedrijf McAfee in een analyse weten. De nagemaakte vacaturesites vroegen gebruikers om met hun zakelijke inloggegevens in te loggen.

Ook kregen bezoekers kwaadaardige HTML-applicaties (HTA-bestand) aangeboden. Deze HTA-bestanden waren in werkelijkheid malware die als backdoor fungeerden en allerlei inloggegevens van het systeem probeerden te stelen, zo laat Christiaan Beek, lead scientist en senior principal engineer bij McAfee, aan Security.nl weten. De gestolen inloggegevens werden vervolgens gebruikt om toegang tot de interne netwerken van deze bedrijven te krijgen.

Nadat de aanvallers toegang tot de interne netwerken hadden verkregen werd de Shamoon-malware verspreid die bestanden en de Master Boot Record (MBR) van systemen overschreef. De systemen bleven daardoor onbruikbaar achter. Vorige week meldde Saipem, de Italiaanse dienstverlener aan de olie- en gasindustrie, dat honderden servers door de Shamoon-malware waren getroffen. Het ging om meer dan 300 servers in het Midden-Oosten, India, Aberdeen en Italië. Symantec meldt dat ook organisaties in de olie- en gasindustrie in de Verenigde Arabische Emiraten en Saoedi-Arabië zijn getroffen.

De eerste versie van Shamoon wist in 2012 zo’n 30.000 computers van de Saoedische oliegigant Saudi Aramco te saboteren door allerlei gegevens te verwijderen en de Master Boot Record (MBR) van de harde schijf te overschrijven, waardoor het besturingssysteem niet meer kon worden gestart. Eind 2016 werd een tweede Shamoon-variant ontdekt, die het op Saoedische overheidsinstallaties had voorzien, alsmede andere organisaties in het Midden-Oosten.

Image