ZeroCleare
Los investigadores de ciberseguridad tienden a etiquetar a los grupos de piratería más avanzados como APT (amenazas persistentes avanzadas). Los APT a menudo son contratados por los gobiernos para llevar a cabo operaciones sospechosas. Sin embargo, no todos los APT están patrocinados por el gobierno, y muchos operan por su cuenta, siguiendo sus propias agendas. La mayoría de los grupos APT llevarían a cabo ataques con el objetivo de recopilar información sobre su objetivo o lanzar operaciones puramente motivadas financieramente. Sin embargo, hay ciertos APT cuyo objetivo es causar la mayor cantidad de estragos posible y causar el mayor daño posible. Los limpiadores de disco son el malware más comúnmente utilizado en campañas tan amenazantes. El objetivo de los limpiadores de disco es destruir los datos almacenados en el disco duro del objetivo y los dispositivos de almacenamiento extraíbles. Si una copia de seguridad de sus archivos no está disponible y usted es víctima de un limpiador de disco, no hay forma de recuperar sus datos.
Tabla de contenido
Tiene similitudes con el limpiador Shamoon
Recientemente, los investigadores de malware detectaron un nuevo limpiador de disco en la naturaleza. El nombre de esta nueva amenaza es ZeroCleare. Al estudiar el limpiador ZeroCleare, los expertos encontraron algunas similitudes significativas con uno de los limpiadores de disco más populares: Shamoon . Sin embargo, esto no significa que el limpiador ZeroCleare sea una copia de la amenaza Shamoon porque también hay varias diferencias importantes. Esto significa que estas amenazas no pertenecen a la misma familia de malware, pero los autores del limpiador ZeroCleare probablemente hayan tomado prestado código de la notoria amenaza Shamoon.
Sobrescribe el MBR
Para comprometer un host objetivo, los atacantes parecen aprovechar las conexiones de escritorio remoto y las cuentas de red que se han protegido de manera deficiente y, por lo tanto, son bastante vulnerables. Al infectar una computadora, el limpiador ZeroCleare solo se lanzará después de que los operadores de la amenaza hayan utilizado otras familias de malware. Los atacantes han optado por utilizar un juego de herramientas genuino llamado 'EldoS RawDisk' para llevar a cabo la operación amenazante. A menudo, los kits de herramientas legítimos como el 'EldoS RawDisk' se usan en ataques cibernéticos porque permitirían a los atacantes evadir los controles de seguridad y las medidas antimalware. Cuando se inicia el malware ZeroCleare, comenzará a sobrescribir el MBR (Master Boot Record) y destruirá los datos del usuario.
Los expertos en malware no han podido determinar qué APT está propagando el limpiador ZeroCleare o cuál es su objetivo final. Algunos investigadores creen que el actor de la amenaza detrás del limpiador ZeroCleare puede estar actuando en nombre de un gobierno extranjero.
Cuando se trata de amenazas de malware que hacen un desastre en un sistema infectado, los usuarios de computadoras afectados por la amenaza tienden a profundizar en las razones del trastorno en su sistema. Como resultado, ZeroCleare es un tipo particular de amenaza que parece haber sido aprovechada por piratas informáticos o ciberdelincuentes para atacar a las industrias. Justo el año pasado, según la firma de inteligencia de seguridad de IBM, ha habido un aumento del 200 por ciento en la cantidad de ataques destructivos que su equipo IRIS de X-Force ha visto en casos de ayudar a las empresas a responder a tales casos. ZeroCleare es una amenaza que se ha utilizado principalmente para atacar a los sectores de energía e industriales, que ha visto un aumento constante en los ataques de malware agresivo y sofisticado en los últimos años.
Muchas partes de Europa y Oriente Medio han visto un número bastante alto de ataques de ZeroCleare y otras amenazas similares. Si bien los ataques ZeroCleare no se limitan a áreas específicas, los ciberdelincuentes buscan lanzar sus ataques en áreas debido a factores motivacionales que podrían afectar la economía de un país rival.
Las complejidades de ZeroCleare lo hacen más peligroso
Las complejidades de ZeroCleare son expansivas. Los hackers han creado ZeroCleare para eludir ciertas salvaguardas dentro del sistema operativo Windows, principalmente las que evitan que se ejecuten controladores no firmados en ciertos sistemas. En el caso de ZeroCleare, las computadoras con Windows de 64 bits y su capacidad para protegerse contra controladores no firmados con Driver Signature Enforcement (DSE) es básicamente nula cuando está bajo el ataque de ZeroCleare. Con esto, es evidente que ZeroCleare es de rango libre para explotar un sistema de 64 bits, que algunos consideran más seguro que un sistema de 32 bits. De cualquier manera, ZeroCleare es propenso a causar problemas importantes y podría provocar que una computadora infectada se ponga de rodillas y sea prácticamente inútil después de afectar el Registro de arranque maestro.
Siempre se insta a los usuarios de computadoras a tomar medidas preventivas para evitar ser atacados por amenazas como ZeroCleare. En el panorama del ransomware agresivo y otras amenazas que causan fundamentalmente una pérdida de datos almacenados, las empresas de seguridad no pueden enfatizar lo suficiente lo importante que es tomar medidas proactivas para evitar los ataques ZeroCleare, ya que puede no dejar mucho espacio para la recuperación de un sistema dañado.
