Стали известны новые подробности об осуществленной 10 декабря кибератаке на серверы итальянской нефтегазовой компании Saipem, расположенные в Саудовской Аравии, ОАЭ и Кувейте. Согласно сообщению Saipem, в ходе атаки использовался новый вариант червя Shamoon (также известен как DistTrack). По имеющимся данным, в результате инцидента пострадали порядка 300 - 400 серверов и до 100 персональных компьютеров.
По словам представителей компании, им неизвестен организатор атаки, однако специалисты полагают, что к ней может быть причастен Иран, поскольку предварительный технический анализ новой версии вредоноса показал сходные черты с вариантом, использовавшимся в 2012 году масштабной кибератаке на нефтяную компанию Saudi Aramco, затронувшей несколько десятков тысяч серверов. Saudi Aramco является крупнейшим клиентом Saipem.
Shamoon затаился на несколько лет, однако в конце 2016 года эксперты зафиксировали новые атаки на организации на Ближнем Востоке, которые продолжались в первой половине 2017 года. Червь полностью стирает данные с жесткого диска и делает компьютер непригодным для дальнейшего использования.
Примерно в тот же период, когда произошла атака на Saipem, новый вариант Shamoon был загружен в базу данных сервиса VirusTotal. По словам специалистов Chronicle, вредонос несколько отличается от оригинальной версии, в частности, он не содержит вшитые учетные данные домена и список управляющих серверов. Не исключено, что злоумышленники используют иной метод подключения к целевой сети и вручную устанавливают вредоносное ПО. Кроме того, если предыдущие варианты размещали на зараженных машинах изображения с политическим подтекстом, то новая версия просто шифрует файлы.