La nueva variante de malware Shamoon se dirige a la compa√Ī√≠a italiana de petr√≥leo y gas

Shamoon Malware

Shamoon ha vuelto … una de las familias de malware m√°s destructivas que caus√≥ da√Īos al mayor productor de petr√≥leo de Arabia Saudita en 2012 y esta vez se ha dirigido a organizaciones del sector energ√©tico que operan principalmente en Oriente Medio.

A principios de esta semana, la empresa italiana de perforaci√≥n petrolera Saipem fue atacada y se destruyeron archivos confidenciales en aproximadamente el 10 por ciento de sus servidores, principalmente en el Medio Oriente, incluidos Arabia Saudita, Emiratos √Ārabes Unidos y Kuwait, pero tambi√©n en India y Escocia.

Saipem admiti√≥ el mi√©rcoles que el virus inform√°tico utilizado en el √ļltimo ataque cibern√©tico contra sus servidores es una variante de Shamoon, un malware de limpieza de disco que se utiliz√≥ en los ataques cibern√©ticos m√°s da√Īinos de la historia contra Saudi Aramco y RasGas Co Ltd y destruy√≥ datos en m√°s de 30,000 sistemas.

El ciberataque contra Saudi Aramco, que es el mayor cliente de Saipem, fue atribuido a Ir√°n, pero no est√° claro qui√©n est√° detr√°s de los √ļltimos ciberataques contra Saipem.

Mientras tanto, Chronicle, la subsidiaria de seguridad cibernética de Google, también descubrió un archivo que contiene una muestra de Shamoon que se cargó en el servicio de análisis de archivos VirusTotal el 10 de diciembre (el mismo día en que atacaron a Saipem) desde una dirección IP en Italia, donde Saipem tiene su sede.

Sin embargo, el Chronicle no estaba seguro de quién creó las muestras de Shamoon recién descubiertas o quién las cargó en el sitio de detección de virus.

Seg√ļn los informes, el √ļltimo ataque contra Saipem paraliz√≥ m√°s de 300 de sus servidores y alrededor de 100 computadoras personales de un total de aproximadamente 4000 m√°quinas, aunque la compa√Ī√≠a confirm√≥ que ya hab√≠a hecho una copia de seguridad de las computadoras afectadas, por lo que no hay posibilidad de que se pierdan datos en el ataque cibern√©tico.

“Saipem informa que el ataque cibern√©tico afect√≥ a servidores con sede en Oriente Medio, India, Aberdeen y, de manera limitada, Italia a trav√©s de una variante del malware Shamoon”, dijo Saipem en su comunicado de prensa.

“Las actividades de restauraci√≥n, de manera gradual y controlada, est√°n en marcha a trav√©s de las infraestructuras de respaldo y, cuando se completen, restablecer√°n la operaci√≥n completa de los sitios afectados”.

Shamoon, también conocido como Disttrack, funciona deshabilitando los sistemas al sobrescribir los archivos clave de la computadora, incluido el registro de arranque maestro (MBR), lo que hace que sea imposible que las computadoras se inicien.

El malware también puede propagarse rápidamente a través de redes infectadas utilizando Windows Protocolo de bloqueo de mensajes del servidor (SMB), similar a otro malware destructivo conocido como WannaCry y NotPetya.

Shamoon apareci√≥ por primera vez en 2012, y luego, despu√©s de un largo tiempo de silencio, se utiliz√≥ una versi√≥n evolucionada del malware en ataques contra varias organizaciones sauditas en 2016 y 2017 dirigidas a m√ļltiples industrias, incluidos los sectores de servicios p√ļblicos y financieros.

Todavía no está claro quién creó realmente Shamoon, pero los investigadores de seguridad creen ampliamente que los grupos de piratería iraníes OilRig, Rocket Kitten y Greenbug que trabajan en nombre del gobierno iraní estaban detrás de los ataques anteriores de Shamoon, aunque Irán lo ha negado firmemente.