BiBi valytuvas

Pastebėtas naujas BiBi Wiper kenkėjiškos programos variantas, nukreiptas į disko skaidinių lentelę, apsunkinantis duomenų atkūrimą ir pailginantis jos aukų prastovos laiką. Atakos naudojant „BiBi Wiper“ prieš Izraelį ir Albaniją buvo atsektos įtariamos Irano programišių grupės „Void Manticore“ („Storm-842“) vardu, kuri, kaip manoma, yra susijusi su Irano žvalgybos ir saugumo ministerija (MOIS).

Tyrėjai pirmą kartą nustatė „BiBi Wiper“ 2023 m. spalį, dėl to Izraelio CERT 2023 m. lapkritį paskelbė įspėjimą apie plačias kibernetines atakas prieš svarbias organizacijas šalyje. Neseniai paskelbta ataskaita atskleidė naujesnes „BiBi Wiper“ versijas kartu su kitais dviem pasirinktiniais valytuvais „Cl Wiper“ ir „Partition Wiper“, kuriuos naudoja ta pati grėsmės grupė.

Tuštybės Manticore kibernetiniai nusikaltėliai gali pasislėpti už netikrų asmenybių

Įtariama, kad „Void Manticore“ veikia prisidengus „Telegram“ įsilaužimo grupuote „Karma“, atsiradusia po „Hamas“ atakos prieš Izraelį spalį. „Karma“ prisiėmė atsakomybę už išpuolius prieš daugiau nei 40 Izraelio subjektų, naudodama „Telegram“ surinktiems duomenims arba nuvalytų diskų įrodymams parodyti, sustiprindama jų veiklos poveikį. Albanijos operacijose dalyvavo asmuo, žinomas kaip Tėvynės teisingumas, o kai kurie sugadinti failai buvo nutekinti „Telegram“.

Ši taktika glaudžiai atspindi „Sandworm “ (APT44), žinomo kaip „Haktivist“ temos „Telegram“ kanalų, tokių kaip „XakNet Team“, „CyberArmyofRussia_Reborn“ ir „Solntsepek“, naudojimą.

Intriguojantis apreiškimas yra tai, kad „Void Manticore“ tam tikrais atvejais perduoda pažeistos infrastruktūros valdymą „Scarred Manticore“. Scarred Manticore specializuojasi nustatant pradinę prieigą, dažnai išnaudojant pažeidžiamumą, pvz., Microsoft Sharepoint CVE-2019-0604 trūkumą, atliekant SMB šoninį judėjimą ir renkant el. Įsiskverbusios šios organizacijos perduodamos „Void Manticore“, kad būtų įpurškiama naudingoji apkrova, toliau judėtų į šoną tinkle ir įdiegtų duomenų valymo mechanizmus.

„BiBi“ valytuvas toliau tobulina savo žalingąsias savybes

„Void Manticore“ savo destruktyviai veiklai naudoja daugybę įrankių, įskaitant žiniatinklio apvalkalus, rankinio ištrynimo įrankius, pasirinktinius valytuvus ir kredencialų tikrinimo įrankius.

Naujausios BiBi Wiper kenkėjiškos programos iteracijos pažeidžia ne sistemos failus, pakeičiant juos atsitiktiniais duomenimis ir pridedant atsitiktinai sugeneruotą plėtinį, kuriame yra „BiBi“ identifikatorius. „BiBi“ pasireiškia „Linux“ ir „Windows“ variantuose, kurių kiekvienas turi skirtingas savybes ir veikimo niuansus.

„Linux“ aplinkoje „BiBi“ inicijuoja kelias gijas, atitinkančias turimus procesoriaus branduolius, kad paspartintų valymo procesą. Ir atvirkščiai, „Windows“ versijoje „BiBi“ neįtraukiami .sys, .exe ir .dll failai, kad sistema nebūtų paleidžiama.

Priešingai nei ankstesnėse iteracijose, atnaujinti variantai skirti išskirtinai Izraelio sistemoms ir susilaiko nuo šešėlinių kopijų trynimo ar sistemos klaidų atkūrimo ekrano išjungimo. Tačiau dabar jie pašalina skaidinio informaciją iš disko, o tai padidina duomenų atkūrimo iššūkį.

Skirsnių valytuvai daugiausia dėmesio skiria sistemos skaidinių lentelei, todėl disko išdėstymas tampa neatšaukiamas. Tai apsunkina pastangas atkurti duomenis ir padidina padarytos žalos mastą. Aukos dažnai susiduria su mėlynu mirties ekranu (BSOD) arba sistemos gedimais paleidus iš naujo, nes šie valytuvai veikia ir pagrindinio įkrovos įrašo (MBR), ir GUID skaidinių lentelės (GPT) skaidinius.