ZeroCleare
Исследователи кибербезопасности, как правило, обозначают наиболее продвинутые хакерские группы как APT (Advanced Persistent Threat). APT часто нанимаются правительствами для проведения теневых операций. Однако не все APT спонсируются правительством, и многие из них действуют самостоятельно, преследуя свои собственные планы. Большинство групп APT либо проводят атаки с целью сбора информации о своей цели, либо запускают чисто финансовые операции. Тем не менее, есть определенные APT, цель которых - нанести как можно больше ущерба и нанести как можно больше урона. Дисковые дворники являются наиболее распространенным вредоносным ПО, используемым в таких угрожающих кампаниях. Цель очистителей дисков - уничтожить данные, хранящиеся на жестком диске и съемных запоминающих устройствах. Если резервная копия ваших файлов недоступна, и вы стали жертвой очистки диска, восстановить ваши данные невозможно.
Оглавление
Имеет сходство с Shamoon Wiper
Недавно исследователи вредоносных программ обнаружили новый дисковый очиститель в дикой природе. Название этой совершенно новой угрозы - ZeroCleare. Изучив стеклоочиститель ZeroCleare, эксперты обнаружили существенное сходство с одним из самых популярных дисковых стеклоочистителей - Shamoon . Однако это не означает, что стеклоочиститель ZeroCleare является копией угрозы Shamoon, поскольку также существуют различные важные различия. Это означает, что эти угрозы не принадлежат к тому же семейству вредоносных программ, но авторы программы очистки ZeroCleare, вероятно, позаимствовали код из пресловутой угрозы Shamoon.
Перезаписывает MBR
Чтобы скомпрометировать целевой хост, злоумышленники, по-видимому, используют преимущества подключений к удаленному рабочему столу и сетевых учетных записей, которые были плохо защищены и, следовательно, довольно уязвимы. После заражения компьютера очиститель ZeroCleare будет запущен только после того, как операторы угроз использовали другие семейства вредоносных программ. Злоумышленники решили использовать подлинный инструментарий под названием «EldoS RawDisk» для выполнения угрожающей операции. Часто в кибератаках используются легитимные наборы инструментов, такие как EldoS RawDisk, поскольку они позволяют злоумышленникам уклоняться от проверок безопасности и мер защиты от вредоносных программ. Когда вредоносная программа ZeroCleare запускается, она начинает перезаписывать MBR (Master Boot Record) и уничтожать данные пользователя.
Эксперты по вредоносным программам не смогли определить, какой APT распространяет очиститель ZeroCleare или какова их конечная цель. Некоторые исследователи полагают, что действующий за угроза очиститель ZeroCleare может действовать от имени иностранного правительства.
Когда речь идет об угрозах со стороны вредоносных программ, создающих беспорядок в зараженной системе, пользователи компьютеров, подверженные этой угрозе, как правило, углубляются в причины беспорядка в своей системе. Как выясняется, ZeroCleare - это особый тип угроз, который, по-видимому, использовался хакерами или кибер-преступниками для организации атак на отрасли. Только в прошлом году, по данным фирмы IBM Security Intelligence, количество разрушительных атак увеличилось на 200 процентов, что их команда X-Force IRIS видела в случаях, когда компании помогали реагировать на такие случаи. ZeroCleare - это угроза, которая использовалась в основном для атак на энергетический и промышленный секторы, и в последние годы наблюдается постоянный рост атак со стороны агрессивных и сложных вредоносных программ.
Во многих частях Европы и на Ближнем Востоке довольно много нападений со стороны ZeroCleare и других подобных угроз. В то время как атаки ZeroCleare не ограничиваются конкретными областями, киберкруки надеются начать свои атаки в областях из-за мотивирующих факторов, которые в конечном итоге могут повлиять на экономику страны-конкурента.
Сложности ZeroCleare делают его более опасным
Сложности ZeroCleare обширные. Хакеры создали ZeroCleare таким образом, чтобы обойти определенные меры предосторожности в операционной системе Windows, в основном те, которые препятствуют запуску неподписанных драйверов в определенных системах. В случае ZeroCleare 64-битные компьютеры с Windows и их способность защищать от неподписанных драйверов с помощью Driver Signature Enforcement (DSE) в основном не имеют силы, когда находятся под атакой ZeroCleare. Таким образом, очевидно, что ZeroCleare обладает свободным диапазоном для использования 64-битной системы, которая, по мнению некоторых, более безопасна, чем 32-битная система. В любом случае, ZeroCleare склонен вызывать серьезные проблемы и может привести к тому, что зараженный компьютер окажется на коленях и станет практически бесполезным после воздействия на основную загрузочную запись.
Пользователям компьютеров всегда рекомендуется принимать превентивные меры, чтобы избежать атак со стороны таких угроз, как ZeroCleare. В условиях агрессивного вымогательства и других угроз, которые в основном приводят к потере хранимых данных, охранные фирмы не могут достаточно подчеркнуть, насколько важно принимать упреждающие меры, чтобы избежать атак ZeroCleare, поскольку они могут не оставить много места для восстановления поврежденной системы.
