बीबी वाइपर

डिस्क पार्टीशन टेबल को निशाना बनाते हुए BiBi Wiper मैलवेयर का एक नया प्रकार देखा गया है, जो डेटा रिकवरी को जटिल बनाता है और इसके पीड़ितों के लिए डाउनटाइम बढ़ाता है। इज़राइल और अल्बानिया पर BiBi Wiper का उपयोग करके किए गए हमलों का पता एक संदिग्ध ईरानी हैकिंग समूह से लगाया गया है जिसे Void Manticore (स्टॉर्म-842) के रूप में जाना जाता है, जिसे ईरान के खुफिया और सुरक्षा मंत्रालय (MOIS) से संबद्ध माना जाता है।

शोधकर्ताओं ने पहली बार अक्टूबर 2023 में BiBi Wiper की पहचान की, जिसके कारण इज़राइल के CERT ने नवंबर 2023 में देश में महत्वपूर्ण संगठनों के खिलाफ व्यापक साइबर हमलों के बारे में चेतावनी जारी की। हाल ही में आई एक रिपोर्ट में BiBi Wiper के नए वर्जन के साथ-साथ दो अन्य कस्टम वाइपर, Cl Wiper और Partition Wiper का खुलासा किया गया है, जिन्हें उसी खतरे वाले समूह द्वारा इस्तेमाल किया जाता है।

शून्य मैन्टिकोर साइबर अपराधी नकली व्यक्तित्वों के पीछे छिप सकते हैं

ऐसा संदेह है कि वॉयड मैन्टिकोर टेलीग्राम पर कर्मा हैकटिविज्म समूह की आड़ में काम करता है, जो अक्टूबर में इजरायल पर हमास के हमले के बाद उभरा है। कर्मा ने 40 से अधिक इजरायली संस्थाओं पर हमलों की जिम्मेदारी ली है, टेलीग्राम का उपयोग करके हार्वेस्टेड डेटा या वाइप किए गए ड्राइव के सबूत दिखाने के लिए, अपनी गतिविधियों के प्रभाव को बढ़ाते हुए। अल्बानियाई ऑपरेशन में होमलैंड जस्टिस नामक एक व्यक्ति शामिल था, और चुराई गई कुछ फाइलें टेलीग्राम पर लीक हो गई थीं।

यह रणनीति सैंडवॉर्म (APT44) की कार्यप्रणाली से काफी मिलती-जुलती है, जिसे हैकटिविस्ट थीम वाले टेलीग्राम चैनलों जैसे कि XakNet Team, CyberArmyofRussia_Reborn और Solntsepek का उपयोग करने के लिए जाना जाता है।

एक दिलचस्प बात यह है कि वॉयड मैन्टिकोर कुछ मामलों में समझौता किए गए बुनियादी ढांचे का नियंत्रण स्कार्रेड मैन्टिकोर को सौंपता है। स्कार्रेड मैन्टिकोर प्रारंभिक पहुँच स्थापित करने में माहिर है, अक्सर Microsoft Sharepoint CVE-2019-0604 दोष जैसी कमज़ोरियों का फायदा उठाता है, SMB लेटरल मूवमेंट का संचालन करता है और ईमेल हार्वेस्टिंग करता है। एक बार घुसपैठ करने के बाद, इन संगठनों को पेलोड इंजेक्शन, नेटवर्क के भीतर आगे की लेटरल मूवमेंट और डेटा-वाइपिंग मैकेनिज्म की तैनाती के लिए वॉयड मैन्टिकोर को सौंप दिया जाता है।

बीबी वाइपर अपनी विनाशकारी क्षमताओं को विकसित करना जारी रखता है

वॉयड मैन्टिकोर अपनी विनाशकारी गतिविधियों के लिए कई प्रकार के उपकरणों का उपयोग करता है, जिनमें वेब शेल, मैनुअल डिलीशन टूल, कस्टम वाइपर और क्रेडेंशियल सत्यापन टूल शामिल हैं।

BiBi Wiper मैलवेयर के नवीनतम संस्करण गैर-सिस्टम फ़ाइलों को यादृच्छिक डेटा से बदलकर और 'BiBi' पहचानकर्ता युक्त यादृच्छिक रूप से उत्पन्न एक्सटेंशन जोड़कर छेड़छाड़ करते हैं। BiBi लिनक्स और विंडोज दोनों रूपों में प्रकट होता है, जिनमें से प्रत्येक में अलग-अलग विशेषताएं और परिचालन बारीकियाँ होती हैं।

लिनक्स वातावरण में, BiBi वाइपिंग प्रक्रिया को तेज़ करने के लिए उपलब्ध CPU कोर के अनुरूप कई थ्रेड आरंभ करता है। इसके विपरीत, BiBi का Windows संस्करण सिस्टम को बूट न करने योग्य बनाने से रोकने के लिए .sys, .exe, और .dll फ़ाइलों को बाहर रखता है।

पिछले संस्करणों के विपरीत, अपडेट किए गए संस्करण विशेष रूप से इज़राइली सिस्टम को लक्षित करते हैं और छाया प्रतियों को मिटाने या सिस्टम की त्रुटि पुनर्प्राप्ति स्क्रीन को अक्षम करने से बचते हैं। हालाँकि, वे अब डिस्क से विभाजन जानकारी को हटा देते हैं, जिससे डेटा रिकवरी की चुनौती बढ़ जाती है।

पार्टिशन वाइपर खास तौर पर सिस्टम के पार्टीशन टेबल पर ध्यान केंद्रित करते हैं, जिससे डिस्क लेआउट को पुनर्प्राप्त करना असंभव हो जाता है। इससे डेटा को पुनर्स्थापित करने के प्रयास जटिल हो जाते हैं और नुकसान की सीमा बढ़ जाती है। पीड़ितों को अक्सर ब्लू स्क्रीन ऑफ़ डेथ (BSOD) का सामना करना पड़ता है या रीबूट करने पर सिस्टम क्रैश हो जाता है, क्योंकि ये वाइपर मास्टर बूट रिकॉर्ड (MBR) और GUID पार्टीशन टेबल (GPT) दोनों पार्टीशन को प्रभावित करते हैं।