Categories: SicherheitVirus

Shamoon-Malware löscht Daten von italienischem Mineralölkonzern

Das italienische Unternehmen Saipem, das Dienstleistungen für die Erdöl- und Erdgasförderung anbietet, hat einen Ausfall seiner IT-Systeme durch eine Schadsoftware eingeräumt. Im Netzwerk des Unternehmens fand sich demnach eine neue Variante der Shamoon-Malware. Auf rund zehn Prozent der PCs von Saipem soll sie Daten gelöscht haben.

Die meisten befallenen Systeme gehörten zu Niederlassungen im Mittleren Osten, wo Saipem den größten Teil seiner Geschäfte tätigt. Infiziert wurden aber auch Systeme in Indien, Schottland und in Italien.

Shamoon gehört zu den gefährlichsten Malware-Familien, da sie vor allem darauf aus ist, Daten zu zerstören. Bei zwei Vorfällen in den Jahren 2012 und 2016 wurde Shamoon gegen Saudi Aramco eingesetzt, den größten Mineralölproduzenten in Saudi Arabien. Allein 2012 waren mehr als 30.000 PCs betroffen, was den Geschäftsbetrieb des Unternehmens für Wochen lahmlegte.

Auch der neue Angriff mit Shamoon hat einen Bezug zu Saudi Aramco. Saipem, das zu 30 Prozent der italienischen Eni Group gehört, ist einer der wichtigsten ausländischen Lieferanten von Saudi Aramco.

Bereits am Montag hatte Saipem gemeldet, es sei am Wochenende das Opfer eines Cyberangriffs geworden – ohne jedoch Shamoon oder andere Details zu erwähnen. Am selben Tag wurde die neue Shamoon-Variante auf VirusTotal hochgeladen, und zwar von einer IP-Adresse, die der italienischen Region zuzuordnen ist, in der Saipem seinen Firmensitz hat. Am Tag darauf wurden weitere Muster aus Indien hochgeladen, wo Saipem ebenfalls mit Niederlassungen vertreten ist.

Nach mehreren Nachfragen von ZDNet USA und anderen Medien bestätigte Saipem schließlich, dass seine Systeme durch Shamoon infiziert wurden. „Der Angriff führte zur Zerstörung von Daten und Infrastrukturen“, teilte das Unternehmen mit. Dabei handele es sich um typische Auswirkungen von Malware-Angriffen. Eine Quelle aus dem Umfeld von Saipem erklärte gegenüber ZDNet, die Angreifer hätten die Daten nicht gelöscht, sondern verschlüsselt.

Ein Sicherheitsforscher, der die auf VirusTotal hochgeladenen Shamoon-Muster analysiert hat, Widersprach jedoch den Aussagen der Quelle. Die neue Variante überschreibe Dateien mit unnützen Daten. Auf den ersten Blick könnten diese Daten wie verschlüsselte Dateien aussehen, es seien jedoch zufällige Zeichenfolgen. Außerdem sei es nicht möglich, die ursprünglichen Daten mit einem Schlüssel wiederherzustellen.

Der Geschäftsbetrieb des Unternehmens wurde offenbar nur bedingt gestört. Es sollen nur reguläre Workstations und Notebooks befallen sein, nicht aber die für die Produktion benötigten industriellen Anlagen. Offiziell spricht Saipem von Servern, die mit Shamoon infiziert wurden und derzeit mithilfe einer Backup-Infrastruktur wiederhergestellt würden. Danach seien die betroffenen Standorte wieder voll einsatzbereit – zu derzeitigen Einschränkungen äußerte sich Saipem indes nicht.

Unklar ist derzeit auch, wie Shamoon in die Systeme von Saipem gelangte. Laut Brandon Levene, Sicherheitsforscher bei Chronicle, der die neue Shamoon-Variante auf VirusTotal entdeckte, fehlen ihr zwei Komponenten, die Shamoon bisher für seine Verbreitung nutzte: eine Liste mit Anmeldedaten für SMB-Server und eine Netzwerkkomponente für die Kommunikation mit einem entfernten Server.

Levene vermutet, dass ein Angreifer mit Zugang zum Saipem-Netzwerk für den Malware-Befall verantwortlich ist. Saipem soll indes untersuchen, ob die Malware über das Remote Desktop Protocol von Windows eingeschleust wurde.

ANZEIGE

Die Cloud in kleinen Contact Centern: die Stunde der Wahrheit

Für viele Unternehmen ist noch immer unklar, welche Vorteile ein cloudbasiertes Contact Center bietet. Dieses E-Book von Genesys löst die Mythen rund um Cloud Contact Center auf.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

1 Tag ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

1 Tag ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago