ZeroCleare
Istraživači cyber-sigurnosti imaju tendenciju da označe najnaprednije skupine hakiranja kao APT (Advanced Persistent Threats). Vlade često angažuju APT-ove za obavljanje sjenovitih operacija. Međutim, nisu svi APT-ovi pod pokroviteljstvom vlade, a mnogi djeluju sami, slijedeći svoje programe. Većina APT grupa ili će izvoditi napade s ciljem prikupljanja podataka o svojoj metama ili pokrenuti isključivo financijski motivirane operacije. Međutim, postoje određeni APT-ovi čiji je cilj uništiti što više pustoša i nanijeti što veću štetu. Brisači diska najčešće su zlonamjerni softver koji se koristi u takvim prijetećim kampanjama. Cilj brisača diska je uništiti podatke pohranjene na ciljnom tvrdom disku i prijenosnim uređajima za pohranu. Ako sigurnosna kopija datoteka nije dostupna, a vi postajete žrtvom brisača diska, ne postoji način da vratite svoje podatke.
Sadržaj
Medvjedi su slični sa Shamoon brisačem
Nedavno su istraživači zlonamjernog softvera uočili novi brisač diska u divljini. Naziv ove potpuno nove prijetnje je ZeroCleare. Proučavajući brisač ZeroCleare, stručnjaci su otkrili neke značajne sličnosti s jednim od najpopularnijih brisača diskova - Shamoonom . Međutim, to ne znači da je brisač ZeroCleare kopija prijetnje Shamoon-a, jer postoje i različite važne razlike. To znači da ove prijetnje ne pripadaju istoj grupi zlonamjernog softvera, ali autori brisača ZeroCleare vjerojatno su si posudili kôd iz zloglasne prijetnje Shamoon-a.
Prepisuje MBR
Kako bi ugrozili ciljanog domaćina, čini se da napadači iskorištavaju veze na udaljenoj radnoj površini i mrežne račune koji su slabo osigurani i stoga su prilično ranjivi. Nakon infekcije računala, ZeroCleare brisač će se pokrenuti tek nakon što operateri prijetnje koriste druge porodice zlonamjernog softvera. Napadači su odlučili koristiti istinski alat pod nazivom "EldoS RawDisk" za izvođenje prijetnjive operacije. Često se legitimni alati kao što je "EldoS RawDisk" koriste u cyber napadima jer bi napadačima omogućili izbjegavanje sigurnosnih provjera i mjera protiv zlonamjernog softvera. Kada se pokrene malware ZeroCleare, započet će s prepisivanjem MBR (Master Boot Record) i uništavanjem podataka korisnika.
Stručnjaci za zlonamjerni softver nisu uspjeli utvrditi koji APT propagira brisač ZeroCleare ili koji je njihov krajnji cilj. Neki istraživači vjeruju da prijetnja koja stoji iza brisača ZeroCleare možda djeluje u ime strane vlade.
Kada su u pitanju prijetnje od zlonamjernog softvera, napravi nered na zaraženom sustavu, korisnici računala pod utjecajem prijetnje imaju tendenciju da duboko uđu u razloge poremećaja na svom sustavu. Kako se ispostavilo, ZeroCleare je posebna vrsta prijetnje za koju se čini da su je iskoristili hakeri ili cybercrooks kako bi izvršili napade na industrije. Samo u protekloj godini, prema IBM-ovoj Sigurnosnoj obavještajnoj tvrtki, došlo je do porasta od 200 posto razornih napada koje je njihov X-Force IRIS tim vidio u slučajevima pomaganja tvrtkama da odgovore na takve slučajeve. ZeroCleare je prijetnja koja se koristi uglavnom za napad na energetski i industrijski sektor, koji posljednjih godina bilježi neprestani porast napada agresivnim i sofisticiranim zlonamjernim softverom.
Mnogi dijelovi Europe i Bliskog Istoka vidjeli su prilično visok broj napada ZeroCleare-a i drugih sličnih prijetnji. Iako napadi ZeroCleare nisu ograničeni na specifična područja, cybercrooks izgleda da pokreću svoje napade zbog područja zbog motivacijskih čimbenika koji bi u konačnici mogli utjecati na ekonomiju suparničke zemlje.
Kompleksnosti ZeroClearea čine ga opasnijim
Složenosti ZeroCleare su velike. Hakeri su stvorili ZeroCleare na način da zaobiđu određene zaštitne mjere unutar Windows operativnog sustava, uglavnom one koje sprječavaju pokretanje nepotpisanih upravljačkih programa na određenim sustavima. U slučaju ZeroCleare, 64-bitna Windows računala i njihova sposobnost zaštite od nepotpisanih upravljačkih programa pomoću Driver Signature Enforcement (DSE) u osnovi su ništavni kada su pod napadom ZeroCleare. S takvim je očigledno da je ZeroCleare slobodnog dometa za korištenje 64-bitnog sustava, za koji neki smatraju da je sigurniji od 32-bitnog sustava. U svakom slučaju, ZeroCleare je sklon uzrokovanju velikih problema i može rezultirati da se zaraženo računalo postavi na koljena i gotovo beskorisno nakon što utječe na Master Boot Record.
Korisnike računala uvijek se traži da poduzmu preventivne mjere da izbjegnu napad pod prijetnjama poput ZeroCleare. U okruženju agresivnog ransomwarea i drugih prijetnji koje u osnovi uzrokuju gubitak pohranjenih podataka, zaštitarske tvrtke ne mogu dovoljno naglasiti koliko je važno poduzeti proaktivne mjere kako bi izbjegle napade ZeroCleare jer možda neće ostaviti puno prostora za oporavak oštećenog sustava.
