Honderden servers van de Italiaanse dienstverlener aan de olie- en gasindustrie Saipem zijn getroffen door een variant van de Shamoon-malware, waardoor allerlei systemen werden uitgeschakeld. Dat heeft het bedrijf in een verklaring op de eigen website laten weten.

De eerste versie van Shamoon wist in 2012 zo’n 30.000 computers van de Saoedische oliegigant Saudi Aramco te saboteren door allerlei gegevens te verwijderen en de Master Boot Record (MBR) van de harde schijf te overschrijven, waardoor het besturingssysteem niet meer kon worden gestart. Eind 2016 werd een tweede Shamoon-variant ontdekt, die het op Saoedische overheidsinstallaties had voorzien, alsmede andere organisaties in het Midden-Oosten.

In het geval van de nu ontdekte variant bij Saipem werden meer dan 300 servers in het Midden-Oosten, India, Aberdeen en Italië getroffen. Vanwege de aanval is het bedrijf begonnen met het herstellen van systemen. Een woordvoerder laat tegenover persbureau Reuters weten dat de aanval geen invloed op de omzet van het bedrijf zal hebben.

Silas Cutler, een beveiligingsonderzoeker van Chronicle Security, onderdeel van Alphabat, het moederbedrijf van Google, liet afgelopen maandag weten dat er een nieuwe Shamoon-variant op VirusTotal was ontdekt. VirusTotal is de online virusscandienst van Google, waar gebruikers verdachte bestanden door meer dan 60 verschillende virusscanners kunnen laten controleren. Op dezelfde dag was het Italiaanse Saipem het doelwit van de aanval met de Shamoon-variant.

Anti-virusbedrijf Trend Micro meldt dat het malware-exemplaar vanuit Italië naar VirusTotal is geüpload. Volgens de virusbestrijder heeft de nieuwe variant overeenkomsten met de oudere versies en zijn er kleine aanpassingen doorgevoerd. Christiaan Beek van anti-virusbedrijf McAfee laat weten dat deze variant voor 80 procent gelijk is aan de eerste versie uit 2012 en voor 28 procent aan de versie uit 2012.

De onderzoekers van Trend Micro stellen dat deze versie echter slecht geconfigureerd is. Zo is er code aanwezig om zich via netwerken te verspreiden en contact met een controleserver te maken, maar ontbreken de gegevens om dit ook te doen. Verder blijken ook andere onderdelen niet aanwezig te zijn. De onderzoekers vermoeden dan ook dat de ontwikkelaars van deze Shamoon-versie hun malware nog aan het testen zijn en er in de toekomst een definitieve versie zal verschijnen. Hoe de initiële malware-infectie zich kon voordoen heeft Saipem niet bekendgemaakt.

Image