ZeroCleare
Pesquisadores de segurança cibernética tendem a rotular os grupos de hackers mais avançados como APTs (Ameaças Persistentes Avançadas). Os APTs são frequentemente contratados pelos governos para realizar operações obscuras. No entanto, nem todos os APTs são patrocinados pelo governo, e muitos operam por conta própria, seguindo suas próprias agendas. A maioria dos grupos de APT realiza ataques com o objetivo de coletar informações sobre seus alvos ou inicia operações com motivação financeira. No entanto, existem certos APTs cujo objetivo é causar o máximo de estragos possível e causar o máximo de danos possível. Os limpadores de disco são os malwares mais comuns usados nessas campanhas ameaçadoras. O objetivo dos limpadores de disco é destruir os dados armazenados no disco rígido do alvo e nos dispositivos de armazenamento removíveis. Se um backup de seus arquivos não estiver disponível e você for vítima de um limpador de disco, não há como recuperar seus dados.
Índice
Tem Semelhanças com o Shamoon Wiper
Recentemente, pesquisadores de malware detectaram um novo limpador de disco em estado selvagem. O nome dessa nova ameaça é ZeroCleare. Ao estudar o limpador ZeroCleare, os especialistas encontraram algumas semelhanças significativas com um dos limpadores de disco mais populares - o Shamoon. No entanto, isso não significa que o limpador ZeroCleare seja uma cópia da ameaça Shamoon, porque também existem várias diferenças importantes. Isso significa que essas ameaças não pertencem à mesma família de malware, mas os autores do limpador ZeroCleare provavelmente emprestaram código da notória ameaça Shamoon.
Substitui o MBR
Para comprometer um host visado, os atacantes parecem tirar proveito das conexões remotas da área de trabalho e das contas de rede que foram mal protegidas e, portanto, são bastante vulneráveis. Ao infectar um computador, o limpador ZeroCleare será lançado somente depois que os operadores da ameaça tiverem usado outras famílias de malware. Os invasores optaram por usar um kit de ferramentas genuíno chamado 'EldoS RawDisk' para realizar a operação ameaçadora. Muitas vezes, kits de ferramentas legítimos como o 'EldoS RawDisk' são usados em ataques cibernéticos porque permitem que os invasores evitem verificações de segurança e medidas antimalware. Quando o malware ZeroCleare é iniciado, ele começa a sobrescrever o MBR (Master Boot Record) e a destruir os dados do usuário.
Os especialistas em malware não conseguiram determinar qual APT está propagando o limpador ZeroCleare ou qual é seu objetivo final. Alguns pesquisadores acreditam que o agente de ameaça por trás do limpador ZeroCleare pode estar agindo em nome de um governo estrangeiro.
Quando se trata de ameaças de malware que causam confusão em um sistema infectado, os usuários de computador afetados pela ameaça tendem a se aprofundar nas razões do distúrbio em seu sistema. Acontece que o ZeroCleare é um tipo específico de ameaça que parece ter sido aproveitado por hackers ou cibercriminosos para realizar ataques a indústrias. Apenas no ano passado, de acordo com a empresa de Inteligência de Segurança da IBM, houve um aumento de 200% na quantidade de ataques destrutivos que sua equipe do X-Force IRIS viu em casos de ajudar as empresas a responder a esses casos. O ZeroCleare é uma ameaça que tem sido usada principalmente para atacar os setores industrial e de energia, que registrou um aumento constante nos ataques de malware agressivo e sofisticado nos últimos anos.
Muitas partes da Europa e do Oriente Médio viram um número bastante alto de ataques do ZeroCleare e outras ameaças semelhantes. Embora os ataques do ZeroCleare não se limitem a áreas específicas, os cibercriminosos procuram iniciar seus ataques em áreas devido a fatores motivacionais que podem afetar a economia de um país rival.
As Complexidades do ZeroCleare o Tornam Ainda Mais Perigoso
As complexidades do ZeroCleare são amplas. Os hackers criaram o ZeroCleare de forma a ignorar certas salvaguardas no sistema operacional Windows, principalmente as que impedem a execução de drivers não assinados em determinados sistemas. No caso do ZeroCleare, os computadores Windows de 64 bits e sua capacidade de proteger contra drivers não assinados com o Driver Signature Enforcement (DSE) são basicamente nulos e sem efeito quando sob o ataque do ZeroCleare. Com isso, é evidente que o ZeroCleare é de alcance livre para explorar um sistema de 64 bits, que, segundo alguns, é mais seguro do que um sistema de 32 bits. De qualquer forma, o ZeroCleare é propenso a causar grandes problemas e pode resultar em um computador infectado que fica de joelhos e praticamente inútil depois de afetar o Master Boot Record.
Os usuários de computadores sempre são instados a tomar medidas preventivas para evitar serem atacados por ameaças como ZeroCleare. No cenário de ransomware agressivo e outras ameaças que causam fundamentalmente a perda de dados armazenados, as empresas de segurança não conseguem enfatizar o suficiente a importância de tomar medidas proativas para evitar ataques do ZeroCleare, pois pode não deixar muito espaço para a recuperação de um sistema danificado.
