ZeroCleare
Cybersecurity-forskere har en tendens til å merke de mest avanserte hackinggruppene som APT-er (Advanced Persistent Threats). APTs blir ofte leid inn av myndigheter for å utføre lyssky operasjoner. Imidlertid er ikke alle APT-er sponset av myndighetene, og mange opererer på egen hånd og forfølger egne agendaer. De fleste APT-grupper vil enten utføre angrep med mål om å samle informasjon om deres mål eller starte rent økonomisk motiverte operasjoner. Imidlertid er det visse APT-er som har som mål å gjøre så mye ødeleggelse som mulig og forårsake så mye skade som mulig. Diskvisere er den mest skadelige programvaren som brukes i slike truende kampanjer. Diskwipers 'mål er å ødelegge dataene som er lagret på målets harddisk og flyttbare lagringsenheter. Hvis en sikkerhetskopi av filene dine ikke er tilgjengelig, og du blir offer for en diskvisker, er det ingen måte å gjenopprette dataene dine.
Innholdsfortegnelse
Bærer likheter med Shamoon Wiper
Nylig oppdaget malware-forskere en ny diskavvisker i naturen. Navnet på denne helt nye trusselen er ZeroCleare. Etter å ha studert ZeroCleare-viskeren, fant eksperter noen betydelige likheter med en av de mest populære diskviskerne - Shamoon . Dette betyr imidlertid ikke at ZeroCleare-viskeren er en kopi av Shamoon-trusselen fordi det også er forskjellige viktige forskjeller. Dette betyr at disse truslene ikke tilhører den samme skadelige familien, men forfatterne av ZeroCleare-viskeren har sannsynligvis lånt kode fra den beryktede Shamoon-trusselen.
Overskriver MBR
For å kompromittere en målrettet vert ser det ut til at angriperne drar fordel av eksterne stasjonære tilkoblinger og nettverkskontoer som er sikret dårlig og dermed er ganske sårbare. Ved infeksjon av en datamaskin vil ZeroCleare-viskeren først bli lansert etter at operatørene av trusselen har brukt andre malware-familier. Angriperne har valgt å bruke et ekte verktøysett kalt 'EldoS RawDisk' for å utføre den truende operasjonen. Ofte brukes legitime verktøysett som 'EldoS RawDisk' i cyberangrep fordi de vil tillate angriperne å unndra seg sikkerhetskontroll og tiltak mot malware. Når ZeroCleare-skadelig programvare lanseres, vil den begynne å overskrive MBR (Master Boot Record) og ødelegge brukerens data.
Malware-eksperter har ikke klart å bestemme hvilken APT som formerer ZeroCleare-viskeren eller hva deres endelige mål er. Noen forskere mener at trusselaktøren bak ZeroCleare-viskeren kan opptre på vegne av en utenlandsk regjering.
Når det gjelder trusler mot skadelig programvare som gjør et rot på et infisert system, pleier databrukere som er påvirket av trusselen, å dykke dypt ned i årsakene til forstyrrelsen i systemet deres. Som det viser seg, er ZeroCleare en spesiell type trussel som ser ut til å ha blitt utnyttet av hackere eller cybercrooks for å lønne angrep på næringer. I løpet av det siste året har det ifølge IBMs sikkerhetsintelligensfirma vært en 200 prosent økning i mengden ødeleggende angrep som deres X-Force IRIS-team har sett i tilfeller av å hjelpe selskaper å svare på slike saker. ZeroCleare er en trussel som har blitt brukt til å mest angripe energi- og industrisektorer, som har hatt en jevn økning i angrep av aggressiv og sofistikert malware de siste årene.
Mange deler av Europa og Midt-Østen har sett et ganske høyt antall angrep fra ZeroCleare og andre lignende trusler. Mens ZeroCleare-angrep ikke er begrenset til spesifikke områder, ser cybercrooks ut for å starte sine angrep i områder på grunn av motivasjonsfaktorer som til slutt kan påvirke økonomien i et konkurrerende land.
ZeroCleares kompleksiteter gjør det farligere
Kompleksitetene til ZeroCleare er ekspansive. Hackere har opprettet ZeroCleare på en måte å omgå visse sikkerhetsregler i Windows-operativsystemet, hovedsakelig de som forhindrer at ikke signerte drivere kjører på visse systemer. Når det gjelder ZeroCleare, er 64-biters Windows-datamaskiner og deres evne til å beskytte mot usignerte drivere med Driver Signature Enforcement (DSE) i utgangspunktet ugyldige når de blir angrepet av ZeroCleare. Med et slikt er det tydelig at ZeroCleare er fri rekkevidde til å utnytte et 64-biters system, noe som av noen antas å være sikrere enn et 32-biters system. Uansett er ZeroCleare utsatt for å forårsake store problemer og kan føre til at en infisert datamaskin blir brakt på kne og praktisk talt ubrukelig etter å ha påvirket Master Boot Record.
Datamaskiner blir alltid oppfordret til å ta forebyggende tiltak for å unngå å komme under angrep fra trusler som ZeroCleare. I landskapet med aggressiv ransomware og andre trusler som i utgangspunktet forårsaker tap av lagrede data, kan ikke sikkerhetsfirmaer understreke nok hvor viktig det er å gjøre proaktive tiltak for å unngå ZeroCleare-angrep, da det kanskje ikke gir mye rom for gjenoppretting av et skadet system.
