BiBi Tergicristallo

È stata osservata una nuova variante del malware BiBi Wiper che prende di mira la tabella delle partizioni del disco, complicando il ripristino dei dati e prolungando i tempi di inattività per le vittime. Gli attacchi utilizzando BiBi Wiper contro Israele e Albania sono stati fatti risalire a un sospetto gruppo di hacker iraniano noto come Void Manticore (Storm-842), ritenuto affiliato al Ministero dell'intelligence e della sicurezza iraniano (MOIS).

I ricercatori hanno identificato per la prima volta BiBi Wiper nell'ottobre 2023, cosa che ha portato il CERT israeliano a emettere un avvertimento nel novembre 2023 su estesi attacchi informatici contro organizzazioni critiche nel paese. Un recente rapporto ha rivelato versioni più recenti di BiBi Wiper insieme ad altri due wiper personalizzati, Cl Wiper e Partition Wiper, utilizzati dallo stesso gruppo di minacce.

La Manticora del Vuoto I criminali informatici possono nascondersi dietro personaggi falsi

Si sospetta che Void Manticore operi sotto le spoglie del gruppo di hacktivismo Karma su Telegram, emerso in seguito all'attacco di Hamas contro Israele in ottobre. Karma si è assunta la responsabilità di attacchi contro più di 40 entità israeliane, utilizzando Telegram per mostrare i dati raccolti o le prove di unità cancellate, amplificando l'impatto delle loro attività. Le operazioni albanesi hanno coinvolto un personaggio noto come Homeland Justice, e alcuni dei file rubati sono trapelati su Telegram.

Questa tattica rispecchia da vicino il modus operandi di Sandworm (APT44), noto per l'utilizzo di canali Telegram a tema hacktivist come XakNet Team, CyberArmyofRussia_Reborn e Solntsepek.

Una rivelazione intrigante è che la Manticora del Vuoto sembra delegare il controllo delle infrastrutture compromesse a Scarred Manticore in alcuni casi. The Scarred Manticore è specializzato nello stabilire l'accesso iniziale, spesso sfruttando vulnerabilità come il difetto Microsoft Sharepoint CVE-2019-0604, conducendo movimenti laterali delle PMI e raccogliendo e-mail. Una volta infiltrate, queste organizzazioni vengono poi passate a Void Manticore per l'iniezione di carico utile, ulteriori movimenti laterali all'interno della rete e l'implementazione di meccanismi di cancellazione dei dati.

Il BiBi Wiper continua ad evolvere le sue capacità distruttive

The Void Manticore utilizza una serie di strumenti per le sue attività distruttive, tra cui web shell, strumenti di eliminazione manuale, wiper personalizzati e strumenti di verifica delle credenziali.

Le ultime iterazioni del malware BiBi Wiper manomettono file non di sistema sostituendoli con dati casuali e aggiungendo un'estensione generata casualmente contenente l'identificatore "BiBi". BiBi si manifesta sia nella variante Linux che in quella Windows, ciascuna con caratteristiche distinte e sfumature operative.

Negli ambienti Linux, BiBi avvia più thread corrispondenti ai core della CPU disponibili per accelerare il processo di cancellazione. Al contrario, la versione Windows di BiBi esclude i file .sys, .exe e .dll per impedire di rendere il sistema non avviabile.

A differenza delle versioni precedenti, le varianti aggiornate prendono di mira esclusivamente i sistemi israeliani e si astengono dal cancellare le copie shadow o dalla disabilitazione della schermata di ripristino degli errori del sistema. Tuttavia, ora eliminano le informazioni sulla partizione dal disco, aumentando la sfida del recupero dei dati.

I Partition Wipers si concentrano specificamente sulla tabella delle partizioni del sistema, rendendo irrecuperabile il layout del disco. Ciò complica gli sforzi per ripristinare i dati e amplifica l’entità del danno inflitto. Le vittime spesso incontrano una schermata blu della morte (BSOD) o un arresto anomalo del sistema al riavvio, poiché questi wiper influenzano sia le partizioni Master Boot Record (MBR) che GUID Partition Table (GPT).