Shamoon is een tool die eerst informatie verzamelt en doorstuurt en vervolgens zijn sporen rigoureus wist. Het is een venijnig virus dat niet alleen bestanden wist, maar ook de bootsector overschrijft. SecurLert wijst erop dat de meeste malware erop is gericht om zoveel mogelijk onopgemerkt te blijven. Maar Shamoon opent keihard de aanval op onder meer de MBR.

Overeenkomsten met Flame

Experts zien overeenkomsten met Flame-plugin Wiper, maar dat kan volgens onderzoekers van Kaspersky een dwaalspoor zijn. De vergelijking met Flame ligt er namelijk dik bovenop met verwijzingen naar Wiper in de code van het virus.

Volgens SecurLert is een tweetrapsraket in de aanval gebruikt. Ten eerste wordt een computer overgenomen en naar een C&C-server getrokken. Vervolgens hebben hackers vrij spel op het systeem en daarna wordt de malware gebruikt om alle sporen te wissen, zodat niet bekend is welke gegevens precies zijn gestolen.

Aanval op oliemaatschappijen

De malware is een executable die ouderwets als bijlage wordt opgestuurd. Tijdens het wissen houdt de tool bij welke bestanden worden verwijderd en stuurt deze gegevens door naar de C&C. Beveiligingsexperts zijn het erover eens dat dit niet zomaar een hackertool is, maar een specifiek spionagevirus.

Volgens beveiligingsbedrijf Symantec lijkt het erop dat de aanval gericht is op energiemaatschappijen. Shamoon is niet wijdverspreid maar duikt volgens de onderzoekers op bij verschillende bedrijven. Symantec vermoedt dat de malware wordt gebruikt in gerichte aanvallen op oliemaatschappijen.

Oliemaatschappij geïnfecteerd

Eerder deze week werd de Saudische oliemaatschappij Saudi Aramco getroffen door een virus waardoor het bedrijf het netwerk platlegde. De olieproductie ging ondertussen door en het is momenteel niet bekend welke malware verantwoordelijk was voor de crisis.

Volgens de oliemaatschappij werd het netwerk geïsoleerd nadat er malware werd ontdekt op een aantal werkstations. Het bedrijf heeft sinds de bekendmaking woensdag geen updates meer gegeven over de status van het probleem en om welk virus het gaat.