ZeroCleare
Cybersecurity-onderzoekers bestempelen de meest geavanceerde hackgroepen als APT's (Advanced Persistent Threats). APT's worden vaak ingehuurd door overheden om duistere operaties uit te voeren. Niet alle APT's worden echter door de overheid gesponsord en veel opereren op eigen kracht en streven hun eigen agenda na. De meeste APT-groepen zouden aanvallen uitvoeren met het doel informatie over hun doel te verzamelen of puur financieel gemotiveerde operaties starten. Er zijn echter bepaalde APT's die tot doel hebben zoveel mogelijk schade aan te richten en zoveel mogelijk schade aan te richten. Schijfwissers zijn de meest gebruikte malware in dergelijke bedreigende campagnes. Het doel van schijfwissers is het vernietigen van de gegevens die zijn opgeslagen op de harde schijf van het doel en verwijderbare opslagapparaten. Als er geen back-up van uw bestanden beschikbaar is en u het slachtoffer wordt van een schijfwisser, is er geen manier om uw gegevens te herstellen.
Inhoudsopgave
Beert overeenkomsten met de Shamoon Wiper
Onlangs zagen malware-onderzoekers een nieuwe schijfwisser in het wild. De naam van deze gloednieuwe dreiging is ZeroCleare. Bij het bestuderen van de ZeroCleare-wisser vonden experts enkele belangrijke overeenkomsten met een van de meest populaire schijfwissers - Shamoon . Dit betekent echter niet dat de ZeroCleare-wisser een kopie is van de Shamoon-dreiging, omdat er ook verschillende belangrijke verschillen zijn. Dit betekent dat deze bedreigingen niet tot dezelfde malwarefamilie behoren, maar de auteurs van de ZeroCleare-ruitenwisser hebben waarschijnlijk code geleend van de beruchte Shamoon-dreiging.
Overschrijft de MBR
Om een doelgerichte host in gevaar te brengen, lijken de aanvallers te profiteren van externe desktopverbindingen en netwerkaccounts die slecht zijn beveiligd en dus nogal kwetsbaar zijn. Nadat een computer is geïnfecteerd, wordt de ZeroCleare-ruitenwisser alleen gestart nadat de exploitanten van de dreiging andere malwarefamilies hebben gebruikt. De aanvallers hebben ervoor gekozen om een echte toolkit genaamd 'EldoS RawDisk' te gebruiken om de dreigende operatie uit te voeren. Vaak worden legitieme toolkits zoals de 'EldoS RawDisk' gebruikt in cyberaanvallen omdat ze de aanvallers in staat zouden stellen beveiligingscontroles en antimalwaremaatregelen te ontwijken. Wanneer de ZeroCleare-malware wordt gestart, wordt de MBR (Master Boot Record) overschreven en worden de gegevens van de gebruiker vernietigd.
Malware-experts hebben niet kunnen bepalen welke APT de ZeroCleare-ruitenwisser doorgeeft of wat hun einddoel is. Sommige onderzoekers zijn van mening dat de bedreigingsacteur achter de ruitenwisser van ZeroCleare mogelijk optreedt namens een buitenlandse overheid.
Als het gaat om malwarebedreigingen die een puinhoop veroorzaken op een geïnfecteerd systeem, duiken computergebruikers die door de dreiging worden getroffen vaak op in de redenen voor de aandoening op hun systeem. Het blijkt dat ZeroCleare een bepaald type bedreiging is dat lijkt te zijn aangewakkerd door hackers of cybercriminelen om aanvallen op industrieën uit te voeren. Volgens IBM's Security Intelligence-bedrijf is het afgelopen jaar slechts 200 procent meer destructieve aanvallen gedaan door hun X-Force IRIS-team dan ooit om bedrijven te helpen reageren op dergelijke gevallen. ZeroCleare is een bedreiging die vooral wordt gebruikt om energie- en industriële sectoren aan te vallen, die de afgelopen jaren gestaag is toegenomen in aanvallen door agressieve en geavanceerde malware.
Veel delen van Europa en het Midden-Oosten hebben een vrij groot aantal aanvallen van ZeroCleare en andere soortgelijke bedreigingen gezien. Hoewel ZeroCleare-aanvallen niet beperkt zijn tot specifieke gebieden, willen cybercriminelen hun aanvallen in gebieden lanceren vanwege motiverende factoren die uiteindelijk de economie van een rivaliserend land kunnen beïnvloeden.
De complexiteit van ZeroCleare maakt het gevaarlijker
De complexiteit van ZeroCleare is enorm. Hackers hebben ZeroCleare gemaakt op een manier om bepaalde beveiligingen binnen het Windows-besturingssysteem te omzeilen, voornamelijk degene die voorkomen dat niet-ondertekende stuurprogramma's op bepaalde systemen worden uitgevoerd. In het geval van ZeroCleare zijn 64-bits Windows-computers en hun vermogen om te beschermen tegen niet-ondertekende stuurprogramma's met Driver Signature Enforcement (DSE) in wezen ongeldig wanneer ze worden aangevallen door ZeroCleare. Daarmee is het duidelijk dat ZeroCleare een vrij bereik is om een 64-bits systeem te exploiteren, waarvan sommigen denken dat het veiliger is dan een 32-bits systeem. Hoe dan ook, ZeroCleare is vatbaar voor het veroorzaken van grote problemen en kan ertoe leiden dat een geïnfecteerde computer op zijn knieën wordt gebracht en vrijwel nutteloos wordt nadat het Master Boot Record is aangetast.
Computergebruikers worden altijd aangespoord preventieve maatregelen te nemen om te voorkomen dat ze worden aangevallen door bedreigingen zoals ZeroCleare. In het landschap van agressieve ransomware en andere bedreigingen die fundamenteel verlies van opgeslagen gegevens veroorzaken, kunnen beveiligingsbedrijven niet genoeg benadrukken hoe belangrijk het is om proactieve maatregelen te nemen om ZeroCleare-aanvallen te voorkomen, omdat het misschien niet veel ruimte laat voor herstel van een beschadigd systeem.
