BiBi Wiper

גרסה חדשה של התוכנה הזדונית BiBi Wiper נצפתה המכוונת לטבלת מחיצות הדיסק, מסבך את שחזור הנתונים והארכת זמן ההשבתה עבור הקורבנות שלו. התקפות באמצעות BiBi Wiper על ישראל ואלבניה אותרו לקבוצת פריצה איראנית החשודה בשם Void Manticore (Storm-842), שלפי הנראה קשורה למשרד המודיעין והביטחון האיראני (MOIS).

חוקרים זיהו לראשונה את BiBi Wiper באוקטובר 2023, מה שהוביל את ה-CERT של ישראל להוציא אזהרה בנובמבר 2023 על מתקפות סייבר נרחבות נגד ארגונים קריטיים במדינה. דוח שנערך לאחרונה חשף גרסאות חדשות יותר של BiBi Wiper יחד עם שני מגבים מותאמים אישית נוספים, Cl Wiper ו- Partition Wiper, המועסקים על ידי אותה קבוצת איומים.

פושעי הסייבר של Void Manticore עלולים להסתתר מאחורי פרסונות מזויפות

על פי החשד, ה-Void Manticore פועל במסווה של קבוצת האקטיביזם קארמה בטלגרם, שצצה בעקבות התקפת חמאס על ישראל באוקטובר. קארמה לקחה אחריות על התקפות על יותר מ-40 ישויות ישראליות, כשהיא משתמשת בטלגרם כדי להציג נתונים שנאספו או עדויות של כוננים שנמחקו, מה שמגביר את ההשפעה של פעילותם. המבצעים האלבניים כללו פרסונה המכונה "צדק מולדת", וחלק מהתיקים שנגנבו הודלפו בטלגרם.

טקטיקה זו משקפת מקרוב את שיטת הפעולה של תולעת חול (APT44), הידועה בשימוש בערוצי טלגרם בעלי נושא האקטיביסטי כגון צוות XakNet, CyberArmyofRussia_Reborn ו-Solntsepek.

גילוי מסקרן הוא שנראה שה-Void Manticore מאציל את השליטה בתשתית שנפגעה ל-Scarred Manticore במקרים מסוימים. Scarred Manticore מתמחה ביצירת גישה ראשונית, ולעתים קרובות מנצל נקודות תורפה כמו הליקוי של Microsoft Sharepoint CVE-2019-0604, ביצוע תנועה רוחבית של SMB ואיסוף מיילים. לאחר חדירתם, הארגונים הללו מועברים ל-Void Manticore לצורך הזרקת מטען, תנועה רוחבית נוספת בתוך הרשת ופריסה של מנגנוני מחיקת נתונים.

מגב BiBi ממשיך לפתח את יכולות ההרס שלו

ה-Void Manticore משתמש במגוון כלים לפעילויות ההרסניות שלו, כולל קונכיות אינטרנט, כלי מחיקה ידניים, מגבים מותאמים אישית וכלים לאימות אישורים.

האיטרציות האחרונות של BiBi Wiper תוכנות זדוניות מתעסקות בקבצים שאינם מערכתיים על ידי החלפתם בנתונים אקראיים והוספה של הרחבה שנוצרה באופן אקראי המכילה את המזהה 'BiBi'. BiBi מתבטא בגרסאות לינוקס ו-Windows, כל אחת עם מאפיינים וניואנסים תפעוליים מובהקים.

בסביבות לינוקס, BiBi יוזם שרשורים מרובים התואמים לליבות ה-CPU הזמינות כדי לזרז את תהליך המחיקה. לעומת זאת, גרסת Windows של BiBi אינה כוללת קובצי .sys, .exe ו-.dll כדי למנוע את הפיכת המערכת לבלתי ניתנת לאתחול.

בניגוד לאיטרציות קודמות, הגרסאות המעודכנות מכוונות באופן בלעדי למערכות ישראליות ונמנעות ממחיקת עותקי צללים או ביטול מסך שחזור השגיאות של המערכת. עם זאת, כעת הם מבטלים מידע מחיצות מהדיסק, מה שמגביר את האתגר של שחזור נתונים.

מגבי המחיצות מתמקדים במיוחד בטבלת המחיצות של המערכת, מה שהופך את פריסת הדיסק לבלתי ניתנת לאחזור. זה מסבך את המאמצים לשחזר נתונים ומגביר את היקף הנזק שנגרם. קורבנות נתקלים לעתים קרובות במסך כחול של מוות (BSOD) או קריסות מערכת בעת אתחול מחדש, מכיוון שמגבים אלה משפיעים על המחיצות של Master Boot Record (MBR) ו-GUID Partition Table (GPT).