.webp)
Cara kerja ZeroCleare
ZeroCleare adalah malware yang masuk dalam kategori wiper, yaitu malware yang didesain untuk menghapus data sebanyak mungkin dari korbannya. Tujuannya buat apa sih?
Setidaknya ada dua skenario di mana malware wiper ini digunakan. Pertama adalah dipakai untuk menyamarkan pembobolan jaringan tertentu dengan menghapus bukti-bukti forensik. Kedua adalah mengganggu, atau bahkan mematikan, operasi sebuah perusahaan dengan menghapus data-data penting mereka.
Dalam analisis IBM terhadap ZeroCleare, ditemukan ada dua versi dari malware ini. Pertama dibuat untuk sistem 32 bit dan yang kedua dibuat untuk sistem 64 bit. Menurut IBM, hanya versi 64 bit yang benar-benar bisa berfungsi.
SCROLL TO CONTINUE WITH CONTENT
Serangan ZeroCleare ini biasanya dimulai dengan serangan brute-force untuk mendapatkan akses melalui jaringan perusahaan yang terbilang lemah. Setelah mereka mendapat akses ke akun servernya, mereka mengeksploitasi celah SharePoint untuk menginstal web shell seperti China Chopper dan Tunna.
Setelah itu barulah si penyerang menyusup ke sebanyak mungkin komputer yang terhubung ke dalam jaringan perusahaan. Dan langkah terakhirnya adalah menyusupkan ZeroCleare ke dalam komputer-komputer tersebut.
Saat ZeroCleare sudah mendapatkan akses tertinggi di dalam host, maka malware ini akan mengaktifkan EldoS RawDisk, sebuah software untuk memodifikasi file, disk, dan partisi. Lalu mereka akan menggunakan software ini untuk menghapus main boot record (MBR) dan merusak partisi hardisk di perangkat yang terhubung ke dalam jaringan tersebut.
Sebagai informasi, EldoS RawDisk ini juga dipakai -- atau tepatnya disalahgunakan -- oleh malware Shamoon untuk merusak data korban. Dan Shamoon pun juga dibuat dan dioperasikan oleh hacker Iran, namun oleh grup yang berbeda bernama APT33 (Hive0016). Tak jelas apakah APT33 ini juga dalam pembuatan ZeroCleare.
(asj/asj)
