BiBi stěrač

Byla pozorována nová varianta malwaru BiBi Wiper, který cílí na tabulku rozdělení disku, což komplikuje obnovu dat a prodlužuje prostoje svých obětí. Útoky pomocí BiBi Wiper na Izrael a Albánii byly vysledovány na podezřelou íránskou hackerskou skupinu známou jako Void Manticore (Storm-842), o níž se předpokládá, že je přidružena k íránskému ministerstvu inteligence a bezpečnosti (MOIS).

Výzkumníci poprvé identifikovali BiBi Wiper v říjnu 2023, což vedlo izraelský CERT k vydání varování v listopadu 2023 o rozsáhlých kybernetických útocích proti kritickým organizacím v zemi. Nedávná zpráva odhalila novější verze BiBi Wiper spolu s dalšími dvěma vlastními stěrači, Cl Wiper a Partition Wiper, které používá stejná skupina hrozeb.

Kyberzločinci Void Manticore se mohou skrývat za falešnými personami

Existuje podezření, že Void Manticore funguje pod rouškou skupiny Karma hacktivism na Telegramu, která se objevila po říjnovém útoku Hamasu na Izrael. Karma převzala odpovědnost za útoky na více než 40 izraelských subjektů pomocí Telegramu k předvedení sklizených dat nebo důkazů o vymazaných jednotkách, čímž zesílila dopad jejich aktivit. Albánské operace zahrnovaly personu známou jako Homeland Justice a některé z ukradených souborů unikly na Telegramu.

Tato taktika přesně odráží modus operandi Sandwormu (APT44), známého využíváním kanálů telegramu s hacktivistickou tématikou, jako jsou XakNet Team, CyberArmyofRussia_Reborn a Solntsepek.

Zajímavým odhalením je, že se zdá, že Void Manticore v určitých případech deleguje kontrolu nad ohroženou infrastrukturou na Scarred Manticore. Scarred Manticore se specializuje na vytvoření počátečního přístupu, často využívá zranitelnosti, jako je chyba Microsoft Sharepoint CVE-2019-0604, provádí boční pohyb SMB a sbírá e-maily. Jakmile jsou tyto organizace infiltrovány, jsou předány do Void Manticore pro vložení užitečného zatížení, další boční pohyb v síti a nasazení mechanismů pro mazání dat.

Stěrač BiBi pokračuje ve vývoji svých destruktivních schopností

Void Manticore využívá řadu nástrojů pro své destruktivní aktivity, včetně webových shellů, nástrojů pro ruční mazání, vlastních stěračů a nástrojů pro ověřování pověření.

Nejnovější iterace malwaru BiBi Wiper narušují nesystémové soubory jejich nahrazením náhodnými daty a připojením náhodně generované přípony obsahující identifikátor 'BiBi'. BiBi se projevuje ve variantách Linux i Windows, z nichž každá má odlišné vlastnosti a provozní nuance.

V prostředí Linuxu BiBi inicializuje více vláken odpovídajících dostupným jádrům CPU, aby urychlil proces mazání. Verze BiBi pro Windows naopak vylučuje soubory .sys, .exe a .dll, aby se zabránilo tomu, že systém nebude možné spustit.

Na rozdíl od předchozích iterací se aktualizované varianty zaměřují výhradně na izraelské systémy a zdržují se mazání stínových kopií nebo deaktivace obrazovky obnovy chyb systému. Nyní však eliminují informace o diskových oddílech z disku, což zvyšuje náročnost obnovy dat.

Stěrače oddílů se zaměřují konkrétně na tabulku oddílů systému, takže rozložení disku je nevratné. To komplikuje úsilí o obnovu dat a zesiluje rozsah způsobených škod. Oběti se po restartu často setkávají s modrou obrazovkou smrti (BSOD) nebo se zhroucením systému, protože tyto stěrače ovlivňují oddíly Master Boot Record (MBR) a GUID Partition Table (GPT).