Shamoon đã quay trở lại…một trong những họ malware đã gây thiệt hại khủng khiếp cho nhà sản xuất dầu lớn nhất của Ả Rập Saudi vào năm 2012 và lần này nó đã nhắm mục tiêu vào các tổ chức ngành năng lượng chủ yếu hoạt động ở Trung Đông.
Đầu tuần này, công ty khai thác dầu Saipem của Ý đã bị tấn công và các tập tin nhạy cảm trên khoảng 10% máy chủ của họ đã bị phá hủy, chủ yếu ở Trung Đông, bao gồm Ả Rập Saudi, Các Tiểu vương quốc Ả Rập Thống nhất và Kuwait, ngoài ra còn ở Ấn Độ và Scotland.
Saipem thừa nhận hôm thứ Tư rằng virus máy tính được sử dụng trong cuộc tấn công mạng mới nhất vào máy chủ của nó là một biến thể Shamoon, một phần mềm độc hại từng được sử dụng trong các cuộc tấn công mạng gây thiệt hại nhất trong lịch sử chống lại Saudi Aramco và RasGas Co Ltd và phá hủy dữ liệu trên 30.000 hệ thống.
Cuộc tấn công mạng nhằm vào Saudi Aramco, khách hàng lớn nhất của Saipem, nhưng không rõ ai là người đứng sau các cuộc tấn công mạng này.
Trong khi đó, Chronicle, công ty con của Google, cũng đã phát hiện ra một tệp chứa mẫu Shamoon được tải lên dịch vụ phân tích tệp VirusTotal vào ngày 10 tháng 12 (cùng ngày Saipem bị tấn công) từ một địa chỉ IP ở Ý, nơi Saipem có trụ sở.
Tuy nhiên, Chronicle không chắc ai đã tạo ra các mẫu Shamoon mới được phát hiện hoặc ai đã tải chúng lên trang web quét virus.
Cuộc tấn công mới nhất chống lại Saipem đã làm tê liệt hơn 300 máy chủ của họ và khoảng 100 máy tính cá nhân trong tổng số khoảng 4.000 máy, mặc dù công ty đã xác nhận rằng họ đã sao lưu các máy tính bị ảnh hưởng, do đó không có khả năng mất dữ liệu trong cuộc tấn công mạng.
“Saipem báo cáo rằng cuộc tấn công mạng đã tấn công các máy chủ có trụ sở tại Trung Đông, Ấn Độ, Aberdeen và Ý thông qua một biến thể của phần mềm độc hại Shamoon,”
“Các hoạt động phục hồi đang được tiến hành thông qua các cơ sở hạ tầng dự phòng và khi hoàn thành, sẽ thiết lập lại toàn bộ hoạt động của các vị trí bị ảnh hưởng.”
Shamoon, còn được gọi là Disttrack, sẽ vô hiệu hóa các hệ thống bằng cách ghi đè các tệp máy tính chính, bao gồm bản ghi khởi động chính (MBR), khiến máy tính không thể khởi động.
Phần mềm độc hại cũng có thể nhanh chóng lan truyền trên các mạng bị nhiễm bằng giao thức Windows Server Message Block (SMB), tương tự như các phần mềm độc hại phá hoại đã biết khác như WannaCry và NotPetya.
Shamoon lần đầu tiên xuất hiện vào năm 2012, và sau một thời gian dài im lặng, một phiên bản phần mềm độc hại đã được sử dụng trong các cuộc tấn công chống lại các tổ chức khác nhau của Saudi vào năm 2016 và 2017 nhắm vào nhiều ngành công nghiệp, bao gồm cả các ngành dịch vụ công cộng và tài chính.
Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty TNHH Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 9 4400 4666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Nguồn: vietsunshine
