BiBi pyyhin

BiBi Wiper -haittaohjelman uuden muunnelman on havaittu kohdistuvan levyosiotaulukkoon, mikä vaikeuttaa tietojen palauttamista ja pidentäen uhrien seisokkiaikoja. Israelia ja Albaniaa vastaan tehdyt BiBi Wiper -hyökkäykset on jäljitetty iranilaiseen hakkerointiryhmään, joka tunnetaan nimellä Void Manticore (Storm-842), jonka uskotaan olevan yhteydessä Iranin tiedustelu- ja turvallisuusministeriöön (MOIS).

Tutkijat tunnistivat BiBi Wiperin ensimmäisen kerran lokakuussa 2023, minkä vuoksi Israelin CERT varoitti marraskuussa 2023 laajoista kyberhyökkäyksistä maassa kriittisiä organisaatioita vastaan. Äskettäinen raportti on paljastanut BiBi Wiperin uudemmat versiot sekä kaksi muuta mukautettua pyyhintä, Cl Wiper ja Partition Wiper, joita sama uhkaryhmä käyttää.

Void Manticore Cybercriminals voi piiloutua väärennettyjen henkilöiden taakse

Epäillään, että Void Manticore toimii Telegramin Karma hacktivism -ryhmän varjolla, joka syntyi Hamasin Israeliin lokakuussa tehdyn hyökkäyksen jälkeen. Karma on ottanut vastuun hyökkäyksistä yli 40 israelilaista tahoa vastaan ja käyttää Telegramia esitelläkseen kerättyjä tietoja tai todisteita tyhjennetyistä asemista, mikä voimistaa heidän toimintojensa vaikutusta. Albanian operaatioihin osallistui Homeland Justice -nimellä tunnettu henkilö, ja osa ryöstetyistä tiedostoista vuoti Telegramiin.

Tämä taktiikka heijastaa tiiviisti Sandworm (APT44) toimintatapaa, joka tunnetaan hacktivistiaiheisten Telegram-kanavien, kuten XakNet Team, CyberArmyofRussia_Reborn ja Solntsepek, hyödyntämisestä.

Kiehtova paljastus on, että Void Manticore näyttää tietyissä tapauksissa delegoivan vaarantuneen infrastruktuurin hallinnan Scarred Manticorelle. Scarred Manticore on erikoistunut alkupääsyn luomiseen, usein hyödyntäen haavoittuvuuksia, kuten Microsoft Sharepoint CVE-2019-0604 -virhettä, suorittaen SMB-sivuliikettä ja keräämällä sähköpostit. Kun nämä organisaatiot ovat soluttautuneet, ne siirretään Void Manticorelle hyötykuorman lisäämistä, lisää sivuttaisliikettä verkossa ja tietojen pyyhkimismekanismien käyttöönottoa varten.

BiBi Wiper jatkaa tuhoavien kykyjensä kehittämistä

Void Manticore käyttää tuhoaviin toimintoihinsa erilaisia työkaluja, mukaan lukien Web-kuoret, manuaaliset poistotyökalut, mukautetut pyyhkimet ja tunnistetietojen tarkistustyökalut.

BiBi Wiper -haittaohjelman uusimmat iteraatiot peukaloivat muita kuin järjestelmätiedostoja korvaamalla ne satunnaisilla tiedoilla ja lisäämällä satunnaisesti luodun laajennuksen, joka sisältää BiBi-tunnisteen. BiBi esiintyy sekä Linux- että Windows-versioissa, joista jokaisella on omat ominaisuudet ja toiminnalliset vivahteet.

Linux-ympäristöissä BiBi käynnistää useita säikeitä, jotka vastaavat käytettävissä olevia CPU-ytimiä pyyhkimisprosessin nopeuttamiseksi. Sitä vastoin BiBi:n Windows-versio sulkee pois .sys-, .exe- ja .dll-tiedostot, jotta järjestelmä ei muutu käynnistymättömäksi.

Toisin kuin aikaisemmissa iteraatioissa, päivitetyt versiot kohdistuvat yksinomaan israelilaisiin järjestelmiin ja pidättäytyvät poistamasta varjokopioita tai poistamasta järjestelmän Error Recovery -näyttöä käytöstä. Ne kuitenkin poistavat nyt osiotiedot levyltä, mikä lisää tietojen palauttamisen haastetta.

Osionpyyhkimet keskittyvät erityisesti järjestelmän osiotaulukkoon, mikä tekee levyasettelusta peruuttamattoman. Tämä vaikeuttaa ponnisteluja tietojen palauttamiseksi ja lisää aiheutetun vahingon laajuutta. Uhrit kohtaavat usein kuoleman sinisen ruudun (BSOD) tai järjestelmä kaatuu uudelleenkäynnistyksen yhteydessä, koska nämä pyyhkimet vaikuttavat sekä Master Boot Record (MBR) että GUID Partition Table (GPT) -osioihin.