ZeroCleare
Cybersecurity-forskare tenderar att märka de mest avancerade hackinggrupperna som APTs (Advanced Persistent Threats). APT hyrs ofta av regeringar för att genomföra skuggiga operationer. Men inte alla APT: er är sponsrade av regeringen, och många arbetar på egen hand och strävar efter sina egna dagordningar. De flesta APT-grupper skulle antingen genomföra attacker med målet att samla in information om sitt mål eller starta rent ekonomiskt motiverade operationer. Det finns emellertid vissa APT: er vars syfte är att göra så mycket förödelse som möjligt och orsaka så mycket skada som de kan. Disktorkare är den vanligaste skadliga programvaran som används i sådana hotande kampanjer. Diskwipers syfte är att förstöra data lagrade i målets hårddisk och flyttbara lagringsenheter. Om en säkerhetskopia av dina filer inte är tillgänglig och du blir offer för en disketorkare, finns det inget sätt att återställa dina data.
Innehållsförteckning
Bär likheter med Shamoon Wiper
Nyligen såg skadlig forskare en ny hårtorkar i naturen. Namnet på detta helt nya hot är ZeroCleare. Efter att ha studerat ZeroCleare-torkaren fann experter några betydande likheter med en av de mest populära hårtorkarna - Shamoon . Detta betyder dock inte att ZeroCleare-torkaren är en kopia av Shamoon-hotet eftersom det också finns olika viktiga skillnader. Detta innebär att dessa hot inte tillhör samma skadefamiljfamilj, men författarna till ZeroCleare-torkaren har troligtvis lånat kod från det ökända Shamoon-hotet.
Skriv över MBR
För att kompromissa med en riktad värd verkar angriparna dra fördel av fjärrskrivbordsanslutningar och nätverkskonton som har säkrats dåligt och därmed är ganska sårbara. Vid infektion av en dator kommer ZeroCleare-torkaren först att lanseras efter att operatörerna av hotet har använt andra skadliga familjer. Angriparna har valt att använda en äkta verktygssats med namnet 'EldoS RawDisk' för att utföra den hotande operationen. Ofta används legitima verktygssatser som 'EldoS RawDisk' i cyberattacker eftersom de skulle göra det möjligt för angriparna att undvika säkerhetskontroller och åtgärder mot skadlig programvara. När ZeroCleare-skadlig programvara lanseras kommer det att börja skriva över MBR (Master Boot Record) och förstöra användarens data.
Malware-experter har inte kunnat avgöra vilken APT som sprider ZeroCleare-torkaren eller vad deras slutmål är. Vissa forskare tror att hotaktören bakom ZeroCleare-torkaren kan agera på uppdrag av en utländsk regering.
När det gäller hot mot skadlig programvara som gör en röra på ett infekterat system tenderar datoranvändare som påverkas av hotet att dyka djupt in i orsakerna till störningen i deras system. Som det visar sig är ZeroCleare en viss typ av hot som ser ut att ha utnyttjats av hackare eller cybercrooks för att göra attacker mot industrier. Bara det senaste året har det enligt IBMs säkerhetsintelligensföretag skett en ökning med 200 procent i mängden destruktiva attacker som deras X-Force IRIS-team har sett i fall av att hjälpa företag att svara på sådana fall. ZeroCleare är ett hot som har använts för att mestadels angripa energi- och industrisektorer, som har sett en stadig ökning av attacker av aggressiv och sofistikerad skadlig kod under de senaste åren.
Många delar av Europa och Mellanöstern har sett ett ganska stort antal attacker av ZeroCleare och andra liknande hot. Medan ZeroCleare-attacker inte är begränsade till specifika områden, ser cyberkrökor att starta sina attacker i områden på grund av motivationsfaktorer som i slutändan kan påverka ekonomin i ett konkurrerande land.
ZeroCleares komplexitet gör det farligare
Komplexiteten hos ZeroCleare är expansiv. Hackare har skapat ZeroCleare på ett sätt att kringgå vissa skyddsåtgärder i operativsystemet Windows, främst de som hindrar osignerade drivrutiner från att köra på vissa system. När det gäller ZeroCleare, är 64-bitars Windows-datorer och deras förmåga att skydda mot osignerade drivrutiner med Driver Signature Enforcement (DSE) i grund och botten ogiltig när de utsätts för ZeroCleare. Med sådant är det uppenbart att ZeroCleare är fritt räckvidd för att utnyttja ett 64-bitarssystem, vilket av vissa anses vara säkrare än ett 32-bitarssystem. I vilket fall som helst är ZeroCleare benägen att orsaka stora problem och kan leda till att en infekterad dator bringas till knä och nästan värdelös efter att ha påverkat Master Boot Record.
Datoranvändare uppmanas alltid att vidta förebyggande åtgärder för att undvika att bli attackerade av hot som ZeroCleare. I landskapet med aggressiva ransomware och andra hot som i grunden orsakar förlust av lagrad data, kan säkerhetsföretag inte betona tillräckligt hur viktigt det är att vidta proaktiva åtgärder för att undvika ZeroCleare-attacker eftersom det kanske inte lämnar mycket utrymme för återhämtning av ett skadat system.
