Shamoon, le malware qui terrorise les sociétés pétrolières, en embuscade en Italie
La notoriété du malware destructeur Shamoon s'est faite au Moyen-Orient.
Une nouvelle cible dans le secteur pétrolier
Ce mois-ci, le malware a refait surface en Italie selon VirusTotal. Le site web a répertorié le 8 et 9 décembre dernier des traces du code de Shamoon. L'adresse IP trouvée par VirusTotal mène à la société Saipem, une société italienne liée aux activités pétrolières de la Saudi Aramco. L'entreprise a reconnu l'attaque ce lundi 10 décembre, sans mentionner l'implication du malware découvert sur VirusTotal.
https://twitter.com/silascutler/status/1072242407226380288
Toujours selon les données récoltées par le site web, des traces du malware ont été retrouvées jusqu'en Inde, dans une filière de Saipem, laissant peu de doutes sur l'implication de ce dernier dans l'attaque annoncée par l'entreprise. Auprès de certains médias, comme ZDNet, Saipem a confirmé qu'il s'agissait d'une variante du logiciel Shamoon.
La version utilisée serait différente de celle rencontrée en Arabie Saoudite : les infrastructures techniques de Saipem n'ont pas été touchées à l'inverse de la Saudi Aramco dont l'activité avait dû être arrêtée faute de systèmes fonctionnant. Ici, seuls les postes de travail des bureaux de l'entreprise ont été infectés. Les données de ses derniers ont été effacées et remplacées par un simulacre de ransomware : le logiciel prétend avoir chiffré les données alors qu'elles ont déjà été effacées, renseigne un analyste auprès de ZDNet.
À l'heure actuelle, les analystes -- parmi lesquels Silas Cutler de Chronicle, et Christian Beek de McAfee -- semblent s'accorder pour parler d'une version nouvelle cumulant deux versions de Shamoon en une seule. Cette version, dépourvue de cible et de moyen de propagation par le réseau, validerait le scénario d'une contamination manuelle. Mauro Piasere, à la tête du numérique dans la société italienne a informé Reuters que l'attaque serait originaire de Chennai, en Inde.
En outre, Saipem ne serait pas la seule entreprise touchée par cette nouvelle version : une agence de cybersécurité dubaïote estime auprès de Forbes qu'une entreprise d'ingénierie émiratie a subi une attaque de la même sorte.
Pour rappel, l'Iran avait été accusé de l'attaque de la Saudi Aramco. À l'heure actuelle, le processus d'attribution de cette nouvelle attaque reste ouvert, auprès de Forbes toujours, une source admet n'avoir aucune certitude quant à la responsabilité iranienne.