BiBi brisač

Uočena je nova varijanta zlonamjernog softvera BiBi Wiper koja cilja na particijsku tablicu diska, komplicirajući vraćanje podataka i produžujući vrijeme zastoja za žrtve. Napadi korištenjem BiBi Wipera na Izrael i Albaniju povezani su s navodnom iranskom hakerskom skupinom poznatom kao Void Manticore (Storm-842), za koju se vjeruje da je povezana s iranskim Ministarstvom obavještajne službe i sigurnosti (MOIS).

Istraživači su prvi put identificirali BiBi Wiper u listopadu 2023., što je navelo izraelski CERT da izda upozorenje u studenom 2023. o opsežnim kibernetičkim napadima na kritične organizacije u zemlji. Nedavno izvješće otkrilo je novije verzije BiBi Wiper-a zajedno s dva druga prilagođena brisača, Cl Wiper i Partition Wiper, koje koristi ista skupina prijetnji.

Cyberkriminalci Void Manticore možda se skrivaju iza lažnih osoba

Sumnja se da Void Manticore djeluje pod krinkom haktivističke skupine Karma na Telegramu, koja se pojavila nakon napada Hamasa na Izrael u listopadu. Karma je preuzela odgovornost za napade na više od 40 izraelskih entiteta, koristeći Telegram za izlaganje prikupljenih podataka ili dokaza o izbrisanim diskovima, pojačavajući učinak njihovih aktivnosti. U albanske operacije uključena je osoba poznata kao Domovinska pravda, a neki od ukradenih datoteka procurili su na Telegram.

Ova taktika blisko odražava modus operandi Sandworma (APT44), poznatog po korištenju Telegram kanala s haktivističkom temom kao što su XakNet Team, CyberArmyofRussia_Reborn i Solntsepek.

Intrigantno otkriće je da se čini da Void Manticore u određenim slučajevima delegira kontrolu nad ugroženom infrastrukturom Scarred Manticore. Scarred Manticore specijalizirana je za uspostavljanje inicijalnog pristupa, često iskorištavajući ranjivosti kao što je greška Microsoft Sharepoint CVE-2019-0604, provođenje bočnog kretanja SMB-a i prikupljanje e-pošte. Jednom kada se infiltriraju, te se organizacije zatim prosljeđuju Void Manticore radi ubacivanja korisnog tereta, daljnjeg bočnog kretanja unutar mreže i postavljanja mehanizama za brisanje podataka.

BiBi Wiper nastavlja razvijati svoje destruktivne sposobnosti

Void Manticore koristi niz alata za svoje destruktivne aktivnosti, uključujući web školjke, alate za ručno brisanje, prilagođene brisače i alate za provjeru vjerodajnica.

Najnovije iteracije zlonamjernog softvera BiBi Wiper petljaju se u nesistemske datoteke zamjenjujući ih nasumičnim podacima i dodajući nasumično generirano proširenje koje sadrži identifikator 'BiBi'. BiBi se manifestira u varijantama Linuxa i Windowsa, od kojih svaka ima različite karakteristike i operativne nijanse.

U Linux okruženjima, BiBi pokreće više niti koje odgovaraju dostupnim CPU jezgrama kako bi se ubrzao proces brisanja. Nasuprot tome, Windows verzija BiBi-ja isključuje .sys, .exe i .dll datoteke kako bi se spriječilo da se sustav ne može pokrenuti.

Za razliku od prethodnih iteracija, ažurirane varijante isključivo ciljaju izraelske sustave i suzdržavaju se od brisanja kopija u sjeni ili onemogućavanja zaslona za oporavak sustava zbog pogreške. Međutim, sada eliminiraju informacije o particiji s diska, povećavajući izazov oporavka podataka.

Brisači particija fokusiraju se posebno na tablicu particija sustava, čineći izgled diska nepovratnim. To komplicira napore za vraćanje podataka i povećava razmjere nanesene štete. Žrtve se često susreću s plavim ekranom smrti (BSOD) ili padom sustava nakon ponovnog pokretanja, budući da ovi brisači utječu na particije Master Boot Record (MBR) i GUID Partition Table (GPT).