# ZeroCleare > Tipo: **malware** · S1151 · [MITRE ATT&CK](https://attack.mitre.org/software/S1151) ## Descrição [[s1151-zerocleare|ZeroCleare]] é um malware wiper destrutivo utilizado pelo [[g0049-oilrig|OilRig]] (APT34, grupo de ameaça iraniano) desde pelo menos 2019, empregado em ataques contra os setores de energia e industrial no Oriente Médio, além de alvos políticos na Albânia. O ZeroCleare utiliza o driver legítimo [[s0364-rawdisk|RawDisk]] da EldoS Corporation - um driver com assinatura digital válida que permite acesso direto a disco em modo kernel - para realizar a destruição dos dados, explorando ferramentas legítimas como arma cibernética (LOTL - Living off the Land). O funcionamento do ZeroCleare é metódico e destrutivo: o malware realiza descoberta de armazenamento local para identificar todos os discos e partições, então utiliza o driver RawDisk para sobrescrever a estrutura de disco (MBR/VBR) e os dados armazenados, tornando o sistema irrecuperável sem backup externo. A exploração de vulnerabilidades para escalada de privilégio garante acesso de nível de kernel necessário para operações destrutivas. O uso de assinatura de código legítima (RawDisk assinado) permite contornar controles de segurança que válidam drivers por assinatura. O ZeroCleare é considerado parte de uma família de wipers iranianos que inclui [[s0140-shamoon|Shamoon]] e [[dustman|Dustman]], todos direcionados a objetivos de destruição de infraestrutura em vez de espionagem. O uso do ZeroCleare pelo [[g0049-oilrig|OilRig]] nos ataques à Albânia em 2022 (que motivaram o país a expulsar diplomatas iranianos) demonstra o papel do malware como ferramenta de coerção geopolítica - causando dano operacional significativo para enviar uma mensagem política. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - [[t1553-002-code-signing|T1553.002 - Code Signing]] - [[t1059-command-and-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - [[t1106-native-api|T1106 - Native API]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1561-002-disk-structure-wipe|T1561.002 - Disk Structure Wipe]] ## Grupos que Usam - [[g0049-oilrig|OilRig]] ## Detecção A detecção do ZeroCleare deve focar em: carregamento do driver RawDisk (ElRawDsk.sys) por processos não relacionados a ferramentas de backup ou particionamento legítimas, acesso direto ao disco via IOCTL em dispositivos de armazenamento, e execução de scripts PowerShell que realizam operações de disco de baixo nível. Monitoramento de tentativas de escalada de privilégio seguidas de carregamento de drivers é um indicador de alta fidelidade. Sistemas de backup offline e imutáveis são o controle de recuperação mais crítico contra wipers; a presença do driver RawDisk em ambientes de produção deve ser auditada regularmente. ## Relevância LATAM/Brasil O [[g0049-oilrig|OilRig]] (APT34 iraniano) tem foco principal no Oriente Médio, com ataques documentados contra setores de energia e petróleo - setores altamente relevantes para o Brasil (Petrobras, setor de biocombustíveis, refinarias). Embora ataques diretos de [[g0049-oilrig|OilRig]] ao Brasil não sejam documentados públicamente, a família de wipers iranianos representa uma ameaça de referência para o planejamento de resiliência de infraestrutura crítica. O setor de energia brasileiro, especialmente empresas com presença internacional no Oriente Médio, deve incluir ataques de wiper em seus planos de recuperação de desastres e exercícios de resposta a incidentes. ## Referências - [MITRE ATT&CK - S1151](https://attack.mitre.org/software/S1151)