Det er ikke så ofte vi hører om skadevare i den såkalte «wiper»-kategorien, altså skadevare som ikke brukes til vinningskriminalitet, men til å forvolde mest mulig skade. Nå har det dukket opp et potensielt svært farlig virus i denne klassen, melder ZDNet.
I en ny rapport fra IBMs sikkerhetsavdeling X-Force Incident Response and Intelligence Services (IRIS) beskrives et nytt wiper-virus ved navn ZeroCleare, som retter seg mot industri- og energisektoren. Selskapet mistenker Iran for å stå bak.
Ligner på Shamoon
ZeroCleare har ifølge IBMs sikkerhetsforskere mye til felles med det såkalte Shamoon-viruset, som ble omtalt i 2012, da det slo ut datanettverket til verdens største oljeprodusent i Saudia-Arabia.
Shamoon ble beskrevet av sikkerhetsforskere som et av de mest ødeleggende virusene rettet mot privat sektor på det tidspunktet.
I likhet med Shamoon fungerer ZeroCleare ved å overskrive Master Boot Record (MBR), noe som gjør det umulig å starte opp datamaskinen. MBR er den første sektoren på harddisken og et område som leses inn før operativsystemet lastes inn.
På samme måte som Shamoon benytter den nye skadevaren også EldoS RawDisk, som er et legitimt verktøysett for interaksjon med filer, disker og partisjoner. IBM peker på at slike legitime verktøy ofte brukes også av ondsinnede aktører til kriminell aktivitet.
Ødelegger partisjoner
Bakmennene bak ZeroCleare skal ha brukt programvaren til å slette MBR-en og ødelegge partisjoner på et stort antall nettverksenheter. Programvaren brukte driver-sårbarheter og ondsinnede skript til å komme rundt Windows' sikkerhetssystemer og la til rette for destruktive angrep, som potensielt nådde tusenvis av enheter og som det ville ta måneder å fikse.
Den destruktive programvaren skal hovedsaklig ha blitt brukt til svært målrettede angrep mot spesifikke aktører i Midtøsten, men IBM peker på at denne type angrep er en økende bekymring også i resten av verden.
– Selv om vi har sett dem hyppigere i Midtøsten, er disse angrepene ikke begrenset til bestemte deler av verden. De kan iverksettes av hvilken som helst nasjonstilknyttet gruppe som søker å påføre økonomisk skade på rivaliserende land, eller av cyberkriminelle som bruker destruksjon som et pressmiddel, skriver IBM som har flere detaljer om skadevaren i en utfyllende rapport.
Les også: Ny Mac-skadevare bruker «filløse» angrep for å unngå bli fanget opp av antivirus »
