ZeroCleare
Les chercheurs en cybersécurité ont tendance à étiqueter les groupes de piratage les plus avancés en tant que APT (Advanced Persistent Threats). Les gouvernements engagent souvent des APT pour mener des opérations à l'ombre. Cependant, tous les APT ne sont pas parrainés par le gouvernement et beaucoup opèrent de leur propre chef, poursuivant leurs propres objectifs. La plupart des groupes APT mènent des attaques dans le but de collecter des informations sur leur cible ou lancent des opérations purement financières. Cependant, il existe certains APT dont le but est de causer le plus de dégâts possible et de causer le plus de dégâts possible. Les lingettes sont les logiciels malveillants les plus couramment utilisés dans ces campagnes menaçantes. L'objectif des essuie-disques est de détruire les données stockées sur le disque dur et les périphériques de stockage amovibles de la cible. Si une sauvegarde de vos fichiers n’est pas disponible et que vous êtes victime d’un essuyage de disque, il n’ya aucun moyen de récupérer vos données.
Table des matières
Bears similitudes avec l'essuie-glace de Shamoon
Récemment, des chercheurs en programmes malveillants ont découvert un nouvel essuie-disque. Le nom de cette nouvelle menace est ZeroCleare. Lors de l’étude de l’essuie-glace ZeroCleare, les experts ont découvert des similitudes importantes avec l’un des essuie-glaces les plus populaires, Shamoon . Toutefois, cela ne signifie pas que l'essuie-glace ZeroCleare est une copie de la menace Shamoon, car il existe également diverses différences importantes. Cela signifie que ces menaces n'appartiennent pas à la même famille de logiciels malveillants, mais les auteurs de l'essuyeur ZeroCleare ont probablement emprunté du code à la fameuse menace Shamoon.
Ecrase le MBR
Pour compromettre un hôte ciblé, les attaquants semblent tirer parti des connexions de postes de travail distants et des comptes réseau mal sécurisés et donc plutôt vulnérables. Lors de l’infection d’un ordinateur, l’essuie-glace ZeroCleare ne sera lancé que lorsque les opérateurs de la menace auront utilisé d’autres familles de programmes malveillants. Les attaquants ont choisi d'utiliser une véritable boîte à outils appelée "EldoS RawDisk" pour mener à bien l'opération menaçante. Souvent, des outils légitimes, tels que le «EldoS RawDisk», sont utilisés dans les cyber-attaques car ils permettraient aux attaquants d’éviter les contrôles de sécurité et les mesures anti-malware. Lorsque le programme malveillant ZeroCleare est lancé, il commence à écraser le MBR (Master Boot Record) et à détruire les données de l'utilisateur.
Les experts en logiciels malveillants n’ont pas été en mesure de déterminer quel APT propage l’essuie-glace ZeroCleare ni quel est son objectif final. Certains chercheurs pensent que l'acteur de la menace derrière l'essuie-glace ZeroCleare pourrait agir pour le compte d'un gouvernement étranger.
Lorsqu'il s'agit de menaces de logiciels malveillants qui causent des dégâts sur un système infecté, les utilisateurs d'ordinateurs concernés par la menace ont tendance à se plonger dans les causes du désordre sur leur système. Il se trouve que ZeroCleare est un type de menace particulier qui semble avoir été exploité par des pirates informatiques ou des cybercriminels pour mener des attaques contre des industries. Au cours de la dernière année, selon la société de renseignement de sécurité d’IBM, le nombre d’attaques destructrices observées par leur équipe X-Force IRIS a augmenté de 200% lorsqu’il a aidé des entreprises à faire face à de tels cas. ZeroCleare est une menace qui a principalement été utilisée pour attaquer les secteurs de l’énergie et de l’industrie, qui ont connu une augmentation constante des attaques par des logiciels malveillants agressifs et sophistiqués au cours des dernières années.
De nombreuses régions d'Europe et du Moyen-Orient ont connu un nombre assez élevé d'attaques de ZeroCleare et d'autres menaces similaires. Bien que les attaques ZeroCleare ne se limitent pas à des zones spécifiques, les cybercriminels cherchent à lancer leurs attaques dans des zones en raison de facteurs de motivation pouvant éventuellement affecter l’économie d’un pays concurrent.
Les complexités de ZeroCleare le rendent plus dangereux
Les complexités de ZeroCleare sont vastes. Les pirates ont créé ZeroCleare de manière à contourner certaines garanties du système d'exploitation Windows, principalement celles qui empêchent les pilotes non signés de s'exécuter sur certains systèmes. Dans le cas de ZeroCleare, les ordinateurs Windows 64 bits et leur capacité de protection contre les pilotes non signés avec Driver Signature Enforcement (DSE) sont essentiellement nuls et non avenus sous l'attaque de ZeroCleare. Avec un tel système, il est évident que ZeroCleare est un système libre d’exploitation d’un système 64 bits, ce qui est considéré par certains comme plus sûr que le système 32 bits. Dans les deux cas, ZeroCleare est susceptible de causer des problèmes majeurs et peut avoir pour conséquence qu'un ordinateur infecté soit mis à genoux et pratiquement inutile après avoir affecté le Master Boot Record.
Les utilisateurs d’ordinateurs sont toujours priés de prendre des mesures préventives pour ne pas être attaqués par des menaces telles que ZeroCleare. Dans le paysage de ransomware agressif et d’autres menaces qui entraînent fondamentalement une perte de données stockées, les entreprises de sécurité ne peuvent trop insister sur l’importance de prendre des mesures proactives pour éviter les attaques ZeroCleare car elles risquent de ne pas laisser beaucoup de place à la restauration d’un système endommagé.
