Mardrömmen för företag är att plötsligt se hur något plötsligt äter upp alla data. Detta öde drabbade ett gasbolag i Saudiarabien 2012, tiotusentals datorer slogs ut när innehållet på hårddiskarna raderades. Nu har Shamoon dykt upp i ny kostym och än mer illasinnad. Tre gånger har det slagit till. Dessutom har en ny version av skadeprogrammet som raderar all information börjat cirkulera. Denna gång med siktet inställt på europeiska gasbolag, skriver Ars Technica.

Det är säkerhetsföretaget Kaspersky Lab som har hittat det nya programmet och döpt det till Stonedrill, stenborren. De gjorde upptäckten i samband med att de undersökte Shamoons återkomst, som inträffade i november. Version 2.0 har nya verktyg och metoder inbyggda som gör att det förlitar sig mindre på externa ledningsservrar, så kallade command and control-servrar. Samt fullt fungerande moduler för gisslanprogram och nya 32-bitar och 64-bitars komponenter.

Läs också: Skadeprogrammet som raderar allt på datorn är tillbaka

Stonedrill fungerar lite annorlunda. Programmet, en så kallad wiper, har förmågan att undvika upptäckt genom att gå runt hårddiskens drivrutiner under installationen. För att lyckas med den processen manipuleras den del av datorns minne som hänger ihop med användarens webbläsare. Stonedrill innehåller dessutom en bakdörr för att kunna spionera på intet ont anande offer.

Säkerhetsföretaget har hittat fyra paneler för ledningsservrar som angriparna använder för att stjäla data från ett större antal mål. Att den nya versionen av Shamoon nu finns i Europa visar att gruppen bakom dem är på väg att bygga ut sin verksamhet. Måltavlorna ser ut att vara stora företag med olika verksamheter inom den petrokemiska sektorn. De har inte kunnat visa att det funnits några särskilda intressen eller kopplingar till just Saudiarbien.

Exakt hur kopplingen mellan Shamoon och Stonedrill ser ut kan Kaspersky Lab inte svara på. Mest troligt är dock att programmen tillhör två olika grupper som har gemensamma intressen.

Läs också: Skadeprogrammet som raderar allt på datorn är tillbaka

Som i de flesta andra fall av dataintrång handlar det om att få kontroll över offrets användarrättigheter. Shamoon 2.0 gör att angriparen kan bygga ett specialanpassat skadeprogram som sedan sprids genom hela nätverket. Väl på plats, vid ett förutbestämt datum aktiveras programmet och gör hela den infekterade datorn obrukbar. Hur Stonedrill sprider sig vet inte säkerhetsexperterna än, men en inte så avancerad gissning är att de jobbar på att ta reda på det.