ZeroCleare

A kiberbiztonsági kutatók a legfejlettebb hackerezési csoportokat APT-knek (Advanced Peristent Threats) nevezik. Az APT-ket a kormányok gyakran alkalmaznak árnyékos műveletek végrehajtására. Ugyanakkor nem minden APT kormány által támogatott, és sokan önállóan működnek, saját napirendjük szerint. A legtöbb APT-csoport vagy támadásokat hajt végre azzal a céllal, hogy információt gyűjtsön a céliról, vagy pusztán pénzügyi indíttatású műveleteket indítson. Vannak azonban olyan APT-k, amelyek célja a lehető legtöbb pusztítást és a lehető legtöbb kárt okozni. Az ilyen fenyegető kampányokban a lemeztörlők a leggyakrabban használt kártevők. A lemeztisztítók célja a cél merevlemezén és a cserélhető tárolóeszközökön tárolt adatok megsemmisítése. Ha nem áll rendelkezésre biztonsági másolat a fájljairól, és egy lemeztisztító áldozatává válik, az adatok helyreállítása nem lehetséges.

Visel hasonlóságokat a Shamoon ablaktörlővel

A közelmúltban a rosszindulatú programok kutatói új lemeztörlőt észleltek vadonban. Ennek a vadonatúj fenyegetésnek a neve a ZeroCleare. A ZeroCleare ablaktörlő tanulmányozása során a szakértők jelentős hasonlóságokat fedeztek fel az egyik legnépszerűbb korongtisztítóval - a Shamoon-nal . Ez azonban nem azt jelenti, hogy a ZeroCleare ablaktörlő a Shamoon fenyegetésének másolata, mivel számos fontos különbség is létezik. Ez azt jelenti, hogy ezek a fenyegetések nem ugyanabba a rosszindulatú programcsaládba tartoznak, de a ZeroCleare ablaktörlő szerzői valószínűleg kölcsönvették a hírhedt Shamoon-fenyegetéstől.

Az MBR felülírja

A célzott gazdagép veszélyeztetése érdekében a támadók úgy tűnik, hogy kihasználják a távoli asztali kapcsolatok és a rosszul biztonságos, és ezért meglehetősen sebezhető hálózati fiókok előnyeit. Egy számítógép megfertőzésekor a ZeroCleare ablaktörlő csak akkor indul el, miután a fenyegetés kezelői más rosszindulatú programokat használtak. A támadók egy valódi „EldoS RawDisk" nevű eszközkészletet választottak a fenyegetõ mûvelet végrehajtására. A számítógépes támadásokban gyakran használnak olyan törvényes eszközkészleteket, mint az 'EldoS RawDisk', mert ezek lehetővé teszik a támadók számára a biztonsági ellenőrzések és a rosszindulatú programok elleni intézkedések elkerülését. A ZeroCleare rosszindulatú program indításakor az MBR (Master Boot Record) felülírása és a felhasználói adatok megsemmisítése kezdődik.

A rosszindulatú programok szakértői nem tudták meghatározni, melyik APT terjeszti a ZeroCleare ablaktörlőt, vagy mi a végső célja. Egyes kutatók úgy vélik, hogy a ZeroCleare ablaktörlő mögött álló fenyegető szereplő külföldi kormány nevében járhat el.

Amikor a rosszindulatú programok fenyegetik a fertőzött rendszert, akkor a fenyegetés által érintett számítógép-felhasználók hajlamosak mélyen belemerülni a rendszerük zavarának okaiba. Mint kiderült, a ZeroCleare egy olyan típusú fenyegetés, amelyet úgy tűnik, hogy a hackerek vagy a kibernetikusok kihasználták az iparágak elleni támadásokkal szemben. Az IBM biztonsági intelligencia cége szerint az elmúlt évben 200% -kal nőtt a pusztító támadások száma, amelyet az X-Force IRIS csapata látott olyan esetekben, amikor a vállalatok segítenek reagálni az ilyen esetekre. A ZeroCleare egy olyan fenyegetés, amelyet főként az energetikai és ipari szektor támadására használtak, és az utóbbi években az agresszív és kifinomult rosszindulatú programok támadásainak folyamatos növekedése tapasztalható.

Európa és a Közel-Kelet sok részén meglehetősen sok a ZeroCleare támadása és más hasonló fenyegetések. Noha a ZeroCleare támadása nem korlátozódik meghatározott területekre, a számítógépes hálózatok a támadásokat bizonyos területeken indítják el olyan motivációs tényezők miatt, amelyek végső soron befolyásolhatják a rivális ország gazdaságát.

A ZeroCleare összetettsége veszélyesebbé teszi

A ZeroCleare összetettsége kiterjedt. A hackerek a ZeroCleare-t úgy hozták létre, hogy megkerüljék a Windows operációs rendszeren belüli bizonyos biztosítékokat, elsősorban azokat, amelyek megakadályozzák az alá nem írt illesztőprogramok futását bizonyos rendszerekben. A ZeroCleare esetében a 64 bites Windows számítógépek, és azok képessége, hogy megvédjék az alá nem írt illesztőprogramokat az illesztőprogram aláírásának érvényesítésével (DSE), alapvetően érvénytelenek, amikor a ZeroCleare támadása alatt állnak. Ilyen módon nyilvánvaló, hogy a ZeroCleare szabadon használható 64 bites rendszer kihasználására, amelyet egyesek biztonságosabbnak tartanak, mint egy 32 bites rendszert. Akárhogy is, a ZeroCleare hajlamos a nagyobb problémákra, és a fertőzött számítógépet térdre állítja, és gyakorlatilag haszontalanná válhat a Master Boot Record befolyásolása után.

A számítógép-használókat mindig sürgetik, hogy hozzanak megelőző intézkedéseket annak elkerülése érdekében, hogy a ZeroCleare-től fenyegető veszélyek támadások alá kerüljenek. Az agresszív ransomware és más fenyegetések környezetében, amelyek alapvetően a tárolt adatok elvesztését okozzák, a biztonsági cégek nem tudják eléggé hangsúlyozni, mennyire fontos proaktív intézkedéseket tenni a ZeroCleare támadások elkerülése érdekében, mivel ez nem hagy sok helyet a sérült rendszer helyreállításához.