ZeroCleare
Cybersecurity-Forscher neigen dazu, die am weitesten fortgeschrittenen Hacking-Gruppen als APTs (Advanced Persistent Threats) zu bezeichnen. APTs werden oft von Regierungen angeheuert, um zwielichtige Operationen durchzuführen. Allerdings werden nicht alle APTs von der Regierung gesponsert, und viele operieren auf eigene Faust und verfolgen ihre eigenen Ziele. Die meisten APT-Gruppen würden entweder Angriffe mit dem Ziel durchführen, Informationen über ihr Ziel zu sammeln, oder rein finanziell motivierte Operationen starten. Es gibt jedoch bestimmte APTs, deren Ziel es ist, so viel Chaos wie möglich anzurichten und so viel Schaden wie möglich zu verursachen. Scheibenwischer sind die am häufigsten in solchen Bedrohungskampagnen verwendete Malware. Ziel von Disk Wipers ist es, die auf der Festplatte des Ziels und den Wechseldatenträgern gespeicherten Daten zu zerstören. Wenn keine Sicherungskopie Ihrer Dateien verfügbar ist und Sie Opfer eines Festplatten-Wischers werden, können Sie Ihre Daten nicht wiederherstellen.
Inhaltsverzeichnis
Trägt Ähnlichkeiten mit dem Shamoon Wiper
Kürzlich haben Malware-Forscher einen neuen Scheibenwischer in freier Wildbahn entdeckt. Der Name dieser brandneuen Bedrohung ist ZeroCleare. Bei der Untersuchung des ZeroCleare-Wischers stellten Experten einige signifikante Ähnlichkeiten mit einem der beliebtesten Scheibenwischer fest - Shamoon . Dies bedeutet jedoch nicht, dass der ZeroCleare-Wischer eine Kopie der Shamoon-Bedrohung ist, da es auch verschiedene wichtige Unterschiede gibt. Dies bedeutet, dass diese Bedrohungen nicht derselben Malware-Familie angehören, die Autoren des ZeroCleare-Wischers jedoch wahrscheinlich Code von der berüchtigten Shamoon-Bedrohung entlehnt haben.
Überschreibt den MBR
Um einen Zielhost zu kompromittieren, scheinen die Angreifer Remotedesktopverbindungen und Netzwerkkonten zu nutzen, die schlecht gesichert und daher anfällig sind. Nach der Infektion eines Computers wird der ZeroCleare-Wiper erst gestartet, nachdem die Betreiber der Bedrohung andere Malware-Familien verwendet haben. Die Angreifer haben sich für ein echtes Toolkit namens "EldoS RawDisk" entschieden, um die Bedrohungsoperation auszuführen. Bei Cyber-Angriffen werden häufig legitime Toolkits wie die 'EldoS RawDisk' verwendet, damit die Angreifer Sicherheitsüberprüfungen und Maßnahmen gegen Malware ausweichen können. Wenn die ZeroCleare-Malware gestartet wird, überschreibt sie den MBR (Master Boot Record) und zerstört die Daten des Benutzers.
Malware-Experten konnten nicht feststellen, welche APT den ZeroCleare-Wiper verbreitet oder was ihr Endziel ist. Einige Forscher glauben, dass der Bedrohungsakteur hinter dem ZeroCleare-Wischer möglicherweise im Auftrag einer ausländischen Regierung handelt.
Wenn es um Malware-Bedrohungen geht, die ein infiziertes System durcheinander bringen, neigen Computerbenutzer, die von der Bedrohung betroffen sind, dazu, tief in die Ursachen für die Störung ihres Systems einzutauchen. Wie sich herausstellt, handelt es sich bei ZeroCleare um eine besondere Bedrohung, die offenbar von Hackern oder Cyber-Betrügern genutzt wurde, um Angriffe auf Branchen zu führen. Erst im vergangenen Jahr hat laut IBMs Security Intelligence-Unternehmen die Anzahl der destruktiven Angriffe, die das X-Force IRIS-Team bei der Unterstützung von Unternehmen bei der Reaktion auf solche Fälle verzeichnet hat, um 200 Prozent zugenommen. ZeroCleare ist eine Bedrohung, die hauptsächlich für Angriffe im Energie- und Industriesektor eingesetzt wurde. In den letzten Jahren haben Angriffe durch aggressive und hoch entwickelte Malware stetig zugenommen.
In vielen Teilen Europas und des Nahen Ostens wurden ZeroCleare-Angriffe und ähnliche Bedrohungen mit einer relativ hohen Anzahl von Angriffen durchgeführt. Während sich ZeroCleare-Angriffe nicht auf bestimmte Gebiete beschränken, versuchen Cyber-Betrüger, ihre Angriffe in Gebieten zu starten, die aufgrund von Motivationsfaktoren letztendlich die Wirtschaft eines rivalisierenden Landes beeinträchtigen könnten.
Die Komplexität von ZeroCleare macht es gefährlicher
Die Komplexität von ZeroCleare ist weitreichend. Hacker haben ZeroCleare so entwickelt, dass bestimmte Sicherheitsvorkehrungen innerhalb des Windows-Betriebssystems umgangen werden, vor allem solche, die verhindern, dass nicht signierte Treiber auf bestimmten Systemen ausgeführt werden. Im Fall von ZeroCleare sind 64-Bit-Windows-Computer und ihre Fähigkeit, mit Driver Signature Enforcement (DSE) vor nicht signierten Treibern zu schützen, unter dem Angriff von ZeroCleare im Grunde nichtig. Damit ist es offensichtlich, dass ZeroCleare über eine freie Reichweite verfügt, um ein 64-Bit-System auszunutzen, das von einigen als sicherer als ein 32-Bit-System angesehen wird. In beiden Fällen kann ZeroCleare schwerwiegende Probleme verursachen und dazu führen, dass ein infizierter Computer in die Knie gezwungen und nach Beeinträchtigung des Master Boot Record praktisch unbrauchbar wird.
Computerbenutzer werden immer aufgefordert, vorbeugende Maßnahmen zu ergreifen, um nicht von Bedrohungen wie ZeroCleare angegriffen zu werden. In der Landschaft aggressiver Ransomware und anderer Bedrohungen, die grundsätzlich zum Verlust gespeicherter Daten führen, können Sicherheitsfirmen nicht genug betonen, wie wichtig es ist, proaktive Maßnahmen zur Vermeidung von ZeroCleare-Angriffen zu ergreifen, da möglicherweise nicht viel Platz für die Wiederherstellung eines beschädigten Systems bleibt.
