ZeroCleare
Badacze cyberbezpieczeństwa zwykle określają najbardziej zaawansowane grupy hakerskie jako APT (Advanced Persistent Threats). APT są często zatrudniani przez rządy do przeprowadzania podejrzanych operacji. Jednak nie wszystkie APT są sponsorowane przez rząd, a wiele z nich działa samodzielnie, realizując własne programy. Większość grup APT albo przeprowadzałaby ataki w celu zebrania informacji o swoim celu, albo przeprowadzała operacje czysto finansowe. Istnieją jednak pewne APT, których celem jest spowodowanie jak największego spustoszenia i spowodowanie jak największej liczby obrażeń. Wycieraczki dysków są najczęściej złośliwym oprogramowaniem wykorzystywanym w takich groźnych kampaniach. Wycieraczki dysków mają na celu zniszczenie danych przechowywanych na twardym dysku celu i wymiennych urządzeniach magazynujących. Jeśli kopia zapasowa plików nie jest dostępna i padniesz ofiarą wycieraczki, nie ma możliwości odzyskania danych.
Spis treści
Ma podobieństwa z Wiper Shamoon
Niedawno badacze szkodliwego oprogramowania zauważyli nową wycieraczkę dysku na wolności. Nazwa tego nowego zagrożenia to ZeroCleare. Po przestudiowaniu wycieraczki ZeroCleare eksperci odkryli pewne znaczące podobieństwa z jedną z najpopularniejszych wycieraczek dyskowych - Shamoon . Nie oznacza to jednak, że wycieraczka ZeroCleare jest kopią zagrożenia Shamoon, ponieważ istnieją również różne ważne różnice. Oznacza to, że zagrożenia te nie należą do tej samej rodziny złośliwego oprogramowania, ale autorzy wycieraczki ZeroCleare prawdopodobnie pożyczyli kod od znanego zagrożenia Shamoon.
Zastępuje MBR
Aby skompromitować docelowego hosta, atakujący wydają się wykorzystywać połączenia pulpitu zdalnego i konta sieciowe, które zostały słabo zabezpieczone i dlatego są raczej podatne na ataki. Po zainfekowaniu komputera wycieraczka ZeroCleare zostanie uruchomiona dopiero po tym, jak operatorzy zagrożenia wykorzystają inne rodziny złośliwego oprogramowania. Atakujący zdecydowali się użyć oryginalnego zestawu narzędzi o nazwie „EldoS RawDisk" do przeprowadzenia groźnej operacji. Często legalne zestawy narzędzi, takie jak „EldoS RawDisk", są wykorzystywane w cyberatakach, ponieważ pozwalają atakującym uniknąć kontroli bezpieczeństwa i środków ochrony przed złośliwym oprogramowaniem. Po uruchomieniu szkodliwego oprogramowania ZeroCleare zacznie on nadpisywać MBR (Master Boot Record) i niszczyć dane użytkownika.
Eksperci od złośliwego oprogramowania nie byli w stanie ustalić, który APT propaguje wycieraczkę ZeroCleare ani jaki jest jej cel końcowy. Niektórzy badacze uważają, że podmiot grożący za wycieraczką ZeroCleare może działać w imieniu obcego rządu.
Jeśli chodzi o zagrożenia złośliwym oprogramowaniem powodujące bałagan w zainfekowanym systemie, użytkownicy komputerów dotknięci tym zagrożeniem mają tendencję do zagłębiania się w przyczyny tego zaburzenia w swoim systemie. Jak się okazuje, ZeroCleare to szczególny rodzaj zagrożenia, które, jak się wydaje, zostało wykorzystane przez hakerów lub cyberprzestępców do przeprowadzenia ataków na przemysł. Według firmy IBM Security Intelligence w ubiegłym roku nastąpił 200-procentowy wzrost liczby destrukcyjnych ataków, które ich zespół X-Force IRIS widział w przypadkach pomagania firmom w reagowaniu na takie przypadki. ZeroCleare jest zagrożeniem wykorzystywanym głównie do ataków na sektory energetyczne i przemysłowe, które odnotowały stały wzrost liczby ataków agresywnego i wyrafinowanego szkodliwego oprogramowania w ostatnich latach.
W wielu częściach Europy i na Bliskim Wschodzie odnotowano dość dużą liczbę ataków ZeroCleare i innych podobnych zagrożeń. Podczas gdy ataki ZeroCleare nie są ograniczone do określonych obszarów, cyberprzestępcy starają się przeprowadzać swoje ataki w obszarach z powodu czynników motywacyjnych, które mogą ostatecznie wpłynąć na gospodarkę konkurencyjnego kraju.
Złożoność ZeroCleare czyni go bardziej niebezpiecznym
Złożoność ZeroCleare jest ogromna. Hakerzy stworzyli ZeroCleare w taki sposób, aby ominąć pewne zabezpieczenia w systemie operacyjnym Windows, głównie takie, które uniemożliwiają uruchomienie niepodpisanych sterowników w niektórych systemach. W przypadku ZeroCleare 64-bitowe komputery z systemem Windows i ich zdolność do ochrony przed niepodpisanymi sterownikami za pomocą Driver Signature Enforcement (DSE) są w zasadzie nieważne, gdy są atakowane przez ZeroCleare. Dzięki temu oczywiste jest, że ZeroCleare może swobodnie wykorzystywać system 64-bitowy, który zdaniem niektórych jest bardziej bezpieczny niż system 32-bitowy. Tak czy inaczej, ZeroCleare jest podatny na powodowanie poważnych problemów i może spowodować, że zainfekowany komputer padnie na kolana i będzie praktycznie bezużyteczny po wpłynięciu na główny rekord rozruchowy.
Użytkownicy komputerów są zawsze proszeni o podjęcie środków zapobiegawczych, aby uniknąć ataku ze strony zagrożeń takich jak ZeroCleare. W krajobrazie agresywnego oprogramowania ransomware i innych zagrożeń, które zasadniczo powodują utratę przechowywanych danych, firmy zajmujące się bezpieczeństwem nie mogą wystarczająco podkreślić, jak ważne jest podjęcie proaktywnych działań w celu uniknięcia ataków ZeroCleare, ponieważ może nie pozostawić wiele miejsca na odzyskanie uszkodzonego systemu.
