Shamoon, le nettoyeur de disque dur revient à la charge

Après 4 ans de silence, le tueur de disque dur Shamoon vient de reprendre du service en Arabie Saoudite. L’Iran est soupçonné.

Un virus ne meurt jamais. Et Shamoon rentre dans cette catégorie. Ce malware s’est fait connaître en 2012 pour avoir frappé plusieurs entreprises en Arabie Saoudite, dont l’emblématique Saudi Aramco. A l’époque, 35 000 PC de la firme pétrolière avait vu leur disque dur effacé. En 2016, les chercheurs en sécurité viennent de découvrir une variante de ce malware et qui cible là encore des organisations d’Arabie Saoudite. Petite distinction, une fois le virus activé, il n’affiche plus l’image d’un drapeau américain incendié, mais celle du corps du jeune Alyan Kurdi, réfugié Syrien, retrouvé sur une plage et dont la photo a fait le tour du monde.

Cette variante de Shamoon a été confirmée par les autorités saoudiennes. L’Iran est montré du doigt et les attaques ont visé plusieurs organismes gouvernementaux. Cette évolution du malware, connue sous le nom Disttract, a été aussi détectée par les éditeurs de services de sécurité, dont McAfee, Symantec, Palo Alto Networks et FireEye. Ils n’ont pas réussi à déterminer comment ce virus a pu entrer dans les réseaux des différentes organisations. Mais une fois sur les systèmes Windows des victimes, il décide l’installation d’une version 32 ou 64 bits de sa charge.

Effacer à tout prix les données sur les disques durs

Selon Symantec, le malware utilise un logiciel commercial, RawDisk, de l’éditeur EldoS qui donne un accès direct aux disques durs et permet d’écrire des données ou, dans ce cas précis, de les écraser. Un modus operandi déjà vu dans les attaques contre Sony Pictures en 2014. Le malware est capable de modifier l’horloge système du PC pour berner le vérificateur de licence inclus dans le pilote EldoS. « Une méthode pour s’assurer que le module EldoS pour effacer le MBR (Master Boot Record) et le VBR (Volume Boot Record) est valide », précise l’équipe de recherche de FireEye.

La propagation du malware s’effectue via le partage de fichier ou en tentant de se connecter au réseau du partage de fichier. Il désactive les contrôles d’accès des sessions à distance en modifiant le registre de Windows. Il essayer ensuite de se connecter aux réseaux partagés ADMIN$, C$\Windows, D$\Windows et E$\Windows. L’objectif est d’obtenir les privilèges d’administrateurs pour faire le plus de dégâts possibles sur les disques durs. Les chercheurs ont trouvé un lien de communication avec un serveur C&C mais qui n’existait plus.

A lire aussi :

 Avec Proteus, le malware tout-en-un débarque

Un nouveau malware téléchargé toutes les 4 secondes

Crédit Photo : Zentillia-Shutterstock