ZeroCleare
Cybersecurity-forskere har en tendens til at markere de mest avancerede hackinggrupper som APT'er (Advanced Persistent Threats). APT'er ansættes ofte af regeringer for at gennemføre lyssky operationer. Ikke alle APT'er er imidlertid sponsoreret af regeringen, og mange opererer på egen hånd og forfølger deres egne dagsordener. De fleste APT-grupper vil enten udføre angreb med det formål at indsamle information om deres mål eller iværksætte rent økonomisk motiverede operationer. Der er dog visse APT'er, hvis mål er at udføre så meget ødelæggelse som muligt og forårsage så meget skade, som de kan. Diskviskere er den mest almindelige malware, der bruges i sådanne truende kampagner. Diskwipers 'mål er at ødelægge de data, der er gemt på målets harddisk og flytbare lagerenheder. Hvis en sikkerhedskopi af dine filer ikke er tilgængelig, og du bliver offer for en diskvisker, er der ingen måde at gendanne dine data på.
Indholdsfortegnelse
Bærer ligheder med Shamoon Wiper
For nylig opdagede malware-forskere en ny diskvisk i naturen. Navnet på denne splinterny trussel er ZeroCleare. Da de studerede ZeroCleare-viskeren, fandt eksperter nogle betydelige ligheder med en af de mest populære diskviskere - Shamoon . Dette betyder dog ikke, at ZeroCleare-viskeren er en kopi af Shamoon-truslen, fordi der også er forskellige vigtige forskelle. Dette betyder, at disse trusler ikke hører til den samme malware-familie, men forfatterne af ZeroCleare-viskeren har sandsynligvis lånt kode fra den berygtede Shamoon-trussel.
Overskriver MBR
For at gå på kompromis med en målrettet vært synes angribere at drage fordel af eksterne desktopforbindelser og netværkskonti, der er sikret dårligt og dermed er ret sårbare. Efter infektion af en computer vil ZeroCleare-viskeren først blive lanceret, efter at operatørerne af truslen har brugt andre malware-familier. Angriberen har valgt at bruge et ægte værktøjssæt kaldet 'EldoS RawDisk' til at udføre den truende operation. Ofte bruges legitime værktøjssæt som 'EldoS RawDisk' i cyberangreb, fordi de ville give angriberen mulighed for at undgå sikkerhedskontrol og anti-malware-foranstaltninger. Når ZeroCleare malware startes, vil det begynde at overskrive MBR (Master Boot Record) og ødelægge brugerens data.
Malware-eksperter har ikke været i stand til at bestemme, hvilken APT, der spreder ZeroCleare-viskeren, eller hvad deres slutmål er. Nogle forskere mener, at trusselaktøren bag ZeroCleare-viskeren muligvis handler på vegne af en udenlandsk regering.
Når det kommer til malware-trusler, der laver rod på et inficeret system, er computerbrugere, der er påvirket af truslen, en tendens til at dykke dybt ned i grundene til forstyrrelsen på deres system. Som det viser sig, er ZeroCleare en bestemt type trussel, der ser ud til at være blevet gearet af hackere eller cyberkræfter for at gøre angreb på industrier. I det forløbne år har der ifølge IBMs Security Intelligence-firma været en stigning på 200 procent i mængden af destruktive angreb, som deres X-Force IRIS-team har set i tilfælde af at hjælpe virksomheder med at svare på sådanne sager. ZeroCleare er en trussel, der hovedsageligt er blevet brugt til at angribe energi- og industrisektorer, som har set en konstant stigning i angreb fra aggressiv og sofistikeret malware i de senere år.
Mange dele af Europa og Mellemøsten har set et ret stort antal angreb fra ZeroCleare og andre lignende trusler. Mens ZeroCleare-angreb ikke er begrænset til specifikke områder, ser cybercrooks ud for at lancere deres angreb i områder på grund af motiverende faktorer, der i sidste ende kan påvirke økonomien i et konkurrerende land.
ZeroCleares kompleksiteter gør det mere farligt
Kompleksiteten i ZeroCleare er ekspansiv. Hackere har oprettet ZeroCleare på en måde at omgå visse sikkerhedsforanstaltninger i Windows-operativsystemet, hovedsageligt dem, der forhindrer, at ikke-underskrevne drivere kører på visse systemer. I tilfælde af ZeroCleare er 64-bit Windows-computere og deres evne til at beskytte mod usignerede drivere med Driver Signature Enforcement (DSE) stort set ugyldige, når de er under angreb fra ZeroCleare. Med sådan er det tydeligt, at ZeroCleare er fri rækkevidde til at udnytte et 64-bit-system, som af nogle menes at være mere sikkert end et 32-bit-system. Uanset hvad er ZeroCleare tilbøjelig til at forårsage store problemer og kan resultere i, at en inficeret computer bringes på knæ og praktisk talt ubrugelig efter at have påvirket Master Boot Record.
Computerbrugere opfordres altid til at træffe forebyggende foranstaltninger for at undgå at blive angrebet af trusler som ZeroCleare. I landskabet med aggressiv ransomware og andre trusler, der grundlæggende forårsager et tab af lagrede data, kan sikkerhedsfirmaer ikke understrege nok, hvor vigtigt det er at tage proaktive foranstaltninger for at undgå ZeroCleare-angreb, da det muligvis ikke giver meget plads til gendannelse af et beskadiget system.
