از سرگیری فعالیت بدافزار مخرب Shamoon

شرکت ایتالیایی سایپم از آلوده شدن حدود 10 درصد از سرورهایش در کشورهای عربستان سعودی، امارات متحده عربی، کویت، هند، اسکاتلند و ایتالیا به نسخه جدیدی از بدافزار مخرب Shamoon خبر داده است.

سایپم، از جمله پیمانکاران شناخته شده در صنعت نفت و گاز است.

به گزارش شرکت مهندسی شبکه گستر، بدافزار Shamoon که با نام DistTrack نیز شناخته می‌شود، اولین بار در سال ۱۳۹۱ مشاهده شد. در آن سال، انتشار این بدافزار منجر به تخریب سیستم‌های عامل 30 هزار دستگاه شد. با توجه به آمار آلودگی‌های گزارش شده در آن زمان، شرکت‌های ضدویروس، هدف اصلی این بدافزار را سازمان‌های فعال در حوزه انرژی (نفت و گاز)، از جمله، شرکت نفت عربستان سعودی، آرام‌کو اعلام کردند.

در اواخر 1395 دو نسخه جدید از Shamoon باز هم عربستان سعودی را هدف قرار دادند.

Shamoon با جایگزین کردن بخش‌های Master Boot Record و Boot Sector دیسک سخت دستگاه و فایل‌های موجود در برخی پوشه‌های بااهمیت با داده‌هایی خراب، سبب بالا نیامدن سیستم آلوده شده می‌شود.

برخی منابع، این بدافزار را محصول هکرهای ایرانی می دانند.

اکنون به‌نظر می‌رسد که نوییسندگان Shamoon مجددا پس از غیبتی چندساله، فعالیت خود را از سر گرفته‌اند.

یکی از شرکت‌های زیرمجموعه گوگل نیز از شناسایی فایلی آلوده به این بدافزار خبر داده که در 19 آذر ماه همزمان با اجرای حمله سایبری بر ضد سرورهای سایپم بر روی سایت VirusTotal ارسال شده است. نشانی IP دستگاهی که فایل از روی آن ارسال شده متعلق به کشور ایتالیا گزارش شده است. با این حال جزییاتی در خصوص سازنده فایل مذکور و ارسال‌کننده آن به سایت VirusTotal منتشر نشده است.

سایپم اعلام کرده که فرایند بازگردانی اطلاعات با استفاده از نسخه‌های پشتیبان در حال اجراست.

اطلاعات بیشتر در خصوص بدافزار Shamoon در اینجا قابل دریافت و مطالعه است.

نمونه ارسالی به VirusTotal نیز با نام‌های زیر قابل شناسایی می‌باشد:

Bitdefender:
   – Gen:Trojan.Brresmon.Gen.1

McAfee:
   – Trojan-Wiper!DE07C4AC94A5

Sophos:
   – Troj/Wonton-AES