La notoriété du malware destructeur Shamoon s’est faite au Moyen-Orient. Connu pour être un des logiciels parmi les plus dangereux du monde, le code malfaisant fut derrière l’immobilisation — à deux reprises — de la Saudi Aramco. La firme pétrolière avait vu ses données détruites et remplacées provoquant de lourds dégâts financiers. On considère aujourd’hui qu’en 2012, lors de la première attaque, plus de 30 000 ordinateurs de la société avaient été infectés et rendus inutilisables. Au-delà l’attaque de la société saoudienne, une firme pétrolière qatarie fut également la cible de Shamoon avec des résultats de nature similaire.
Une nouvelle cible dans le secteur pétrolier
Ce mois-ci, le malware a refait surface en Italie selon VirusTotal. Le site web a répertorié le 8 et 9 décembre dernier des traces du code de Shamoon. L’adresse IP trouvée par VirusTotal mène à la société Saipem, une société italienne liée aux activités pétrolières de la Saudi Aramco. L’entreprise a reconnu l’attaque ce lundi 10 décembre, sans mentionner l’implication du malware découvert sur VirusTotal.
Toujours selon les données récoltées par le site web, des traces du malware ont été retrouvées jusqu’en Inde, dans une filière de Saipem, laissant peu de doutes sur l’implication de ce dernier dans l’attaque annoncée par l’entreprise. Auprès de certains médias, comme ZDNet, Saipem a confirmé qu’il s’agissait d’une variante du logiciel Shamoon.
La version utilisée serait différente de celle rencontrée en Arabie Saoudite : les infrastructures techniques de Saipem n’ont pas été touchées à l’inverse de la Saudi Aramco dont l’activité avait dû être arrêtée faute de systèmes fonctionnant. Ici, seuls les postes de travail des bureaux de l’entreprise ont été infectés. Les données de ses derniers ont été effacées et remplacées par un simulacre de ransomware : le logiciel prétend avoir chiffré les données alors qu’elles ont déjà été effacées, renseigne un analyste auprès de ZDNet.
des traces du malware ont été retrouvées jusqu’en Inde
À l’heure actuelle, les analystes — parmi lesquels Silas Cutler de Chronicle, et Christian Beek de McAfee — semblent s’accorder pour parler d’une version nouvelle cumulant deux versions de Shamoon en une seule. Cette version, dépourvue de cible et de moyen de propagation par le réseau, validerait le scénario d’une contamination manuelle. Mauro Piasere, à la tête du numérique dans la société italienne a informé Reuters que l’attaque serait originaire de Chennai, en Inde.
En outre, Saipem ne serait pas la seule entreprise touchée par cette nouvelle version : une agence de cybersécurité dubaïote estime auprès de Forbes qu’une entreprise d’ingénierie émiratie a subi une attaque de la même sorte.
Pour rappel, l’Iran avait été accusé de l’attaque de la Saudi Aramco. À l’heure actuelle, le processus d’attribution de cette nouvelle attaque reste ouvert, auprès de Forbes toujours, une source admet n’avoir aucune certitude quant à la responsabilité iranienne.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.