Esquitxador BiBi

S'ha observat una nova variant del programari maliciós BiBi Wiper dirigida a la taula de particions del disc, cosa que complica la restauració de dades i allarga el temps d'inactivitat per a les seves víctimes. Els atacs amb BiBi Wiper a Israel i Albània s'han relacionat amb un presumpte grup de pirateria iranià conegut com Void Manticore (Storm-842), que es creu que està afiliat al Ministeri d'Intel·ligència i Seguretat de l'Iran (MOIS).

Els investigadors van identificar per primera vegada BiBi Wiper l'octubre de 2023, fet que va portar el CERT d'Israel a emetre un advertiment el novembre de 2023 sobre ciberatacs extensos contra organitzacions crítiques del país. Un informe recent ha revelat versions més noves del BiBi Wiper juntament amb altres dos netejadors personalitzats, Cl Wiper i Partition Wiper, utilitzats pel mateix grup d'amenaces.

Els cibercriminals Void Manticore poden amagar-se darrere de falses persones

Se sospita que Void Manticore opera sota l'aparença del grup d'hacktivisme Karma a Telegram, sorgit arran de l'atac de Hamàs a Israel a l'octubre. Karma ha assumit la responsabilitat dels atacs a més de 40 entitats israelianes, utilitzant Telegram per mostrar dades collides o proves de discs esborrades, amplificant l'impacte de les seves activitats. Les operacions albaneses van implicar una persona coneguda com Homeland Justice, i alguns dels fitxers robats es van filtrar a Telegram.

Aquesta tàctica reflecteix de prop el modus operandi de Sandworm (APT44), conegut per utilitzar canals de Telegram de temàtica hacktivista com l'equip XakNet, CyberArmyofRussia_Reborn i Solntsepek.

Una revelació intrigant és que Void Manticore sembla delegar el control de la infraestructura compromesa a Scarred Manticore en determinats casos. Scarred Manticore s'especialitza a establir un accés inicial, sovint explotant vulnerabilitats com la fallada de Microsoft Sharepoint CVE-2019-0604, realitzant moviments laterals SMB i recollint correus electrònics. Un cop infiltrades, aquestes organitzacions es passen a Void Manticore per a la injecció de càrrega útil, un major moviment lateral dins de la xarxa i el desplegament de mecanismes d'esborrat de dades.

El BiBi Wiper continua evolucionant les seves capacitats destructives

Void Manticore utilitza una sèrie d'eines per a les seves activitats destructives, com ara shells web, eines d'eliminació manual, netejadors personalitzats i eines de verificació de credencials.

Les últimes iteracions del programari maliciós BiBi Wiper manipulen fitxers que no són del sistema substituint-los per dades aleatòries i afegint una extensió generada aleatòriament que conté l'identificador "BiBi". BiBi es manifesta tant en variants de Linux com de Windows, cadascuna amb característiques i matisos operatius diferents.

En entorns Linux, BiBi inicia diversos fils corresponents als nuclis de CPU disponibles per accelerar el procés d'esborrat. Per contra, la versió de Windows de BiBi exclou els fitxers .sys, .exe i .dll per evitar que el sistema no pugui arrencar.

A diferència de les iteracions anteriors, les variants actualitzades es dirigeixen exclusivament als sistemes israelians i s'abstenen d'esborrar còpies d'ombra o desactivar la pantalla de recuperació d'errors del sistema. Tanmateix, ara eliminen la informació de partició del disc, augmentant el repte de la recuperació de dades.

Els esborradors de particions se centren específicament en la taula de particions del sistema, fent que la disposició del disc sigui irrecuperable. Això complica els esforços per restaurar les dades i augmenta l'abast del dany causat. Les víctimes sovint es troben amb una pantalla blava de la mort (BSOD) o un bloqueig del sistema en reiniciar, ja que aquests netejadors afecten tant el registre d'arrencada mestre (MBR) com les particions de la taula de particions GUID (GPT).