ZeroCleare
I ricercatori di cybersecurity tendono ad etichettare i gruppi di hacking più avanzati come APT (Advanced Persistent Threats). Gli APT sono spesso assunti dai governi per svolgere operazioni losche. Tuttavia, non tutti gli APT sono sponsorizzati dal governo e molti operano da soli, perseguendo i propri programmi. La maggior parte dei gruppi di APT effettuerebbe attacchi con l'obiettivo di raccogliere informazioni sul proprio obiettivo o avviare operazioni puramente motivate dal punto di vista finanziario. Tuttavia, ci sono alcuni APT il cui scopo è quello di provocare il più possibile il caos e causare il maggior danno possibile. I tergicristalli sono i malware più comunemente utilizzati in campagne così minacciose. L'obiettivo dei pulitori di dischi è quello di distruggere i dati memorizzati nel disco rigido del target e nei dispositivi di archiviazione rimovibili. Se un backup dei tuoi file non è disponibile e cadi vittima di un tergicristallo, non c'è modo di recuperare i tuoi dati.
Sommario
Somiglianze degli orsi con il tergicristallo Shamoon
Recentemente, i ricercatori di malware hanno scoperto un nuovo pulitore del disco in natura. Il nome di questa nuovissima minaccia è ZeroCleare. Studiando il tergicristallo ZeroCleare, gli esperti hanno scoperto alcune somiglianze significative con uno dei tergicristalli a disco più popolari: Shamoon . Tuttavia, ciò non significa che il tergicristallo ZeroCleare sia una copia della minaccia Shamoon perché ci sono anche diverse differenze importanti. Ciò significa che queste minacce non appartengono alla stessa famiglia di malware, ma gli autori del tergicristallo ZeroCleare hanno probabilmente preso in prestito il codice dalla famigerata minaccia Shamoon.
Sovrascrive l'MBR
Per compromettere un host mirato, gli aggressori sembrano trarre vantaggio da connessioni desktop remote e account di rete che sono stati scarsamente protetti e sono quindi piuttosto vulnerabili. Dopo aver infettato un computer, il tergicristallo ZeroCleare verrà lanciato solo dopo che gli operatori della minaccia hanno utilizzato altre famiglie di malware. Gli aggressori hanno scelto di utilizzare un vero e proprio toolkit chiamato "EldoS RawDisk" per eseguire l'operazione minacciosa. Spesso, toolkit legittimi come "EldoS RawDisk" vengono utilizzati negli attacchi informatici perché consentirebbero agli aggressori di eludere i controlli di sicurezza e le misure anti-malware. Quando viene lanciato il malware ZeroCleare, inizierà a sovrascrivere l'MBR (Master Boot Record) e distruggere i dati dell'utente.
Gli esperti di malware non sono stati in grado di determinare quale APT sta propagando il tergicristallo ZeroCleare o quale sia il loro obiettivo finale. Alcuni ricercatori ritengono che l'attore di minaccia dietro il tergicristallo ZeroCleare potrebbe agire per conto di un governo straniero.
Quando si tratta di minacce malware che creano problemi su un sistema infetto, gli utenti di computer interessati dalla minaccia tendono a immergersi profondamente nelle ragioni del disturbo nel proprio sistema. A quanto pare, ZeroCleare è un tipo particolare di minaccia che sembra essere stato sfruttato da hacker o cyber-truffatori per ingaggiare attacchi alle industrie. Proprio nell'ultimo anno, secondo la società di Security Intelligence di IBM, c'è stato un aumento del 200 percento della quantità di attacchi distruttivi che il loro team X-Force IRIS ha visto in casi di aiutare le aziende a rispondere a tali casi. ZeroCleare è una minaccia che è stata utilizzata principalmente per attaccare i settori dell'energia e dell'industria, che negli ultimi anni ha visto un costante aumento degli attacchi da malware aggressivo e sofisticato.
Molte parti dell'Europa e del Medio Oriente hanno visto un numero piuttosto elevato di attacchi da parte di ZeroCleare e altre minacce simili. Mentre gli attacchi ZeroCleare non si limitano ad aree specifiche, i cybercrook cercano di lanciare i loro attacchi in aree a causa di fattori motivazionali che potrebbero in definitiva influenzare l'economia di un paese rivale.
Le complessità di ZeroCleare lo rendono più pericoloso
Le complessità di ZeroCleare sono ampie. Gli hacker hanno creato ZeroCleare in modo da eludere alcune garanzie all'interno del sistema operativo Windows, principalmente quelle che impediscono l'esecuzione di driver non firmati su determinati sistemi. Nel caso di ZeroCleare, i computer Windows a 64 bit e la loro capacità di protezione da driver non firmati con Driver Signature Enforcement (DSE) sono sostanzialmente nulli se sotto l'attacco di ZeroCleare. Con ciò, è evidente che ZeroCleare è una gamma libera per sfruttare un sistema a 64 bit, che alcuni ritengono più sicuro di un sistema a 32 bit. In entrambi i casi, ZeroCleare è incline a causare gravi problemi e potrebbe causare un computer infetto messo in ginocchio e praticamente inutile dopo aver influito sul Master Boot Record.
Gli utenti di computer sono sempre invitati ad adottare misure preventive per evitare di essere attaccati da minacce come ZeroCleare. Nel panorama del ransomware aggressivo e di altre minacce che causano fondamentalmente una perdita di dati archiviati, le società di sicurezza non possono sottolineare abbastanza quanto sia importante adottare misure proattive per evitare gli attacchi ZeroCleare poiché potrebbero non lasciare molto spazio per il ripristino di un sistema danneggiato.
