Υαλοκαθαριστήρας BiBi

Μια νέα παραλλαγή του κακόβουλου λογισμικού BiBi Wiper έχει παρατηρηθεί που στοχεύει τον πίνακα διαμερισμάτων δίσκου, περιπλέκοντας την αποκατάσταση δεδομένων και επεκτείνοντας το χρόνο διακοπής λειτουργίας για τα θύματά του. Οι επιθέσεις που χρησιμοποιούν BiBi Wiper στο Ισραήλ και την Αλβανία εντοπίστηκαν σε μια ύποπτη ιρανική ομάδα χάκερ γνωστή ως Void Manticore (Storm-842), που πιστεύεται ότι συνδέεται με το Υπουργείο Πληροφοριών και Ασφάλειας του Ιράν (MOIS).

Οι ερευνητές εντόπισαν για πρώτη φορά το BiBi Wiper τον Οκτώβριο του 2023, γεγονός που οδήγησε το CERT του Ισραήλ να εκδώσει μια προειδοποίηση τον Νοέμβριο του 2023 σχετικά με εκτεταμένες κυβερνοεπιθέσεις εναντίον κρίσιμων οργανισμών στη χώρα. Μια πρόσφατη αναφορά αποκάλυψε νεότερες εκδόσεις του BiBi Wiper μαζί με δύο άλλους προσαρμοσμένους υαλοκαθαριστήρες, Cl Wiper και Partition Wiper, που χρησιμοποιούνται από την ίδια ομάδα απειλών.

Οι Κυβερνοεγκληματίες Void Manticore ενδέχεται να κρύβονται πίσω από ψεύτικα πρόσωπα

Υπάρχουν υποψίες ότι το Void Manticore λειτουργεί υπό το πρόσχημα της ομάδας χάκερ Κάρμα στο Telegram, που αναδύθηκε στον απόηχο της επίθεσης της Χαμάς στο Ισραήλ τον Οκτώβριο. Η Karma έχει αναλάβει την ευθύνη για επιθέσεις σε περισσότερες από 40 ισραηλινές οντότητες, χρησιμοποιώντας το Telegram για να παρουσιάσει συγκομιδή δεδομένων ή αποδεικτικά στοιχεία σβησμένων δίσκων, ενισχύοντας τον αντίκτυπο των δραστηριοτήτων τους. Οι αλβανικές επιχειρήσεις αφορούσαν μια περσόνα γνωστή ως Πατρίδα Δικαιοσύνη και ορισμένα από τα κλοπιμαία αρχεία διέρρευσαν στο Telegram.

Αυτή η τακτική αντικατοπτρίζει πιστά τον τρόπο λειτουργίας του Sandworm (APT44), που είναι γνωστός για τη χρήση καναλιών Telegram με θέμα το hacktivist, όπως το XakNet Team, το CyberArmyofRussia_Reborn και το Solntsepek.

Μια ενδιαφέρουσα αποκάλυψη είναι ότι το Void Manticore φαίνεται να εκχωρεί τον έλεγχο της παραβιασμένης υποδομής σε Scarred Manticore σε ορισμένες περιπτώσεις. Το Scarred Manticore ειδικεύεται στη δημιουργία αρχικής πρόσβασης, συχνά εκμεταλλευόμενη ευπάθειες όπως το ελάττωμα του Microsoft Sharepoint CVE-2019-0604, τη διεξαγωγή πλευρικών κινήσεων SMB και τη συλλογή μηνυμάτων ηλεκτρονικού ταχυδρομείου. Μόλις διεισδύσουν, αυτοί οι οργανισμοί περνούν στη συνέχεια στο Void Manticore για έγχυση ωφέλιμου φορτίου, περαιτέρω πλευρική κίνηση εντός του δικτύου και την ανάπτυξη μηχανισμών σκουπίσματος δεδομένων.

Ο υαλοκαθαριστήρας BiBi συνεχίζει να εξελίσσει τις καταστροφικές του ικανότητες

Το Void Manticore χρησιμοποιεί μια σειρά εργαλείων για τις καταστροφικές του δραστηριότητες, όπως κελύφη Ιστού, εργαλεία χειροκίνητης διαγραφής, προσαρμοσμένους υαλοκαθαριστήρες και εργαλεία επαλήθευσης διαπιστευτηρίων.

Οι πιο πρόσφατες επαναλήψεις του κακόβουλου λογισμικού BiBi Wiper παραποιούν αρχεία μη συστήματος αντικαθιστώντας τα με τυχαία δεδομένα και προσαρτώντας μια τυχαία δημιουργημένη επέκταση που περιέχει το αναγνωριστικό «BiBi». Το BiBi εμφανίζεται τόσο σε παραλλαγές Linux όσο και σε Windows, καθεμία με ξεχωριστά χαρακτηριστικά και λειτουργικές αποχρώσεις.

Σε περιβάλλοντα Linux, το BiBi εκκινεί πολλαπλά νήματα που αντιστοιχούν στους διαθέσιμους πυρήνες της CPU για να επιταχύνει τη διαδικασία σκουπίσματος. Αντίθετα, η έκδοση του BiBi για Windows εξαιρεί τα αρχεία .sys, .exe και .dll για να αποτρέψει την μη εκκίνηση του συστήματος.

Σε αντίθεση με προηγούμενες επαναλήψεις, οι ενημερωμένες παραλλαγές στοχεύουν αποκλειστικά ισραηλινά συστήματα και αποφεύγουν τη διαγραφή σκιωδών αντιγράφων ή την απενεργοποίηση της οθόνης ανάκτησης σφαλμάτων του συστήματος. Ωστόσο, τώρα εξαλείφουν τις πληροφορίες διαμερισμάτων από το δίσκο, αυξάνοντας την πρόκληση της ανάκτησης δεδομένων.

Οι υαλοκαθαριστήρες διαμερισμάτων εστιάζουν ειδικά στον πίνακα διαμερισμάτων του συστήματος, καθιστώντας τη διάταξη του δίσκου μη ανακτήσιμη. Αυτό περιπλέκει τις προσπάθειες για την αποκατάσταση δεδομένων και ενισχύει την έκταση της ζημίας που προκλήθηκε. Τα θύματα συχνά αντιμετωπίζουν μπλε οθόνη θανάτου (BSOD) ή διακόπτεται το σύστημα κατά την επανεκκίνηση, καθώς αυτοί οι υαλοκαθαριστήρες επηρεάζουν τόσο τα διαμερίσματα Master Boot Record (MBR) όσο και GUID Partition Table (GPT).