ZeroCleare MBRを破壊、PCを起動不能にし、内部ネットワーク上でも感染を広げるマルウェア出現

昨日はEmotetという情報漏洩型マルウェアについて書きましたが、今回紹介するZeroCleareは、「WindowsのMBR(マスターブートレコード)」を破壊する、という本当に怖いマルウェアです。

海外サイトでは、data-wiping malware(データ消去型マルウェアとも言われています)

 

第一報は、ITmediaに掲載されていますが、

  • スターブートレコード(MBR)、つまりパソコンの起動に必要なシステムを破壊する
  • ディスクパーテーションを上書き(システムの起動だけでなくデータが紛失する恐れ大
  • 一度感染すると、ネットワーク上のデバイス多数に感染を広げる
  • 何千万台ものデバイスを攻撃
  • 完全復旧は数ヶ月(バックアップがなければ失われたデータの復旧は無理でしょう)

 

とあり、非常に怖いマルウェアです。

 

現在のところ日本での被害情報はないですが、エネルギー・産業セクターを狙ったマルウェアとして海外では警鐘が鳴らされています。

 

(IBMのレポート・英文)

https://www.ibm.com/downloads/cas/OAJ4VZNJ

 

レポートの中では、「過去10年間で最も危険で破壊的なマルウェアの1つである Shamoonによく似ている」とも表現しており、マルウェアの怖さを物語っています。

 

怖いのは、今後このマルウェアや亜種が、一般のPCをターゲットにしたり、先日のEmotetのようなマルウェアに感染したPCに入り込んでしまうケースです。

 

Ziff Davis Net(英語版)では、よりZeroCleareの詳しい記述があります。

Iranian hackers deploy new ZeroCleare data-wiping malware | ZDNet
IBM identifies new ZeroCleare destructive malware targeting energy companies active in the Middle East region.

 

ここからは、ZDNetの文章を機械翻訳した部分も含みますが、

 

  • ZeroCleareは感染したホストから可能な限り多くのデータを削除するように設計されたマルウェアの一種
  • マルウェアは正当なツールキットであるEldoS RawDiskツールを悪用して「MBRをワイプ、つまり消去し、多数のネットワークデバイスのディスクパーティションを破損する
  • 中東地域で活動するエネルギー企業を標的

 

とあり、これがもし日本に上陸すると、Emotetよりも致命的な、「システムが動かない!しかもネットワーク上の機器が軒並みやられる」という重大インシデントが続出する恐れもあります。

 

現在のところ、あくまで特定ターゲットのみを対象としているようですが、今後はわかりません。

 

関連記事を付記します。

 

マルウェアEmotet(エモテット)+ZeroCleareに関するセキュリティソフトの対応状況を各社サポートに聞いてみた

 

Emotetなどの情報窃取マルウェア・ウイルス・フィッシングメール対策で心がけるべき基礎

 

Emotet感染→Ryuk(リューク・身代金型ランサムウェア)感染という流れに注意

 

 

 

 

タイトルとURLをコピーしました