BiBi tīrītājs

Ir novērots jauns ļaunprogrammatūras BiBi Wiper variants, kas vērsts uz diska nodalījumu tabulu, apgrūtinot datu atjaunošanu un pagarinot dīkstāves laiku tās upuriem. Uzbrukumi Izraēlai un Albānijai, izmantojot BiBi Wiper, ir izsekoti aizdomās turētai Irānas hakeru grupai, kas pazīstama ar nosaukumu Void Manticore (Storm-842), kas, domājams, ir saistīta ar Irānas Izlūkošanas un drošības ministriju (MOIS).

Pētnieki pirmo reizi identificēja BiBi Wiper 2023. gada oktobrī, kā rezultātā Izraēlas CERT 2023. gada novembrī nāca klajā ar brīdinājumu par plašiem kiberuzbrukumiem pret kritiskām organizācijām valstī. Nesenajā ziņojumā ir atklātas jaunākas BiBi Wiper versijas kopā ar diviem citiem pielāgotiem tīrītājiem, Cl Wiper un Partition Wiper, ko izmanto viena un tā pati draudu grupa.

Void Manticore kibernoziedznieki var slēpties aiz viltotām personībām

Pastāv aizdomas, ka Void Manticore darbojas Telegram haktivisma grupas Karma aizsegā, kas radās pēc Hamas uzbrukuma Izraēlai oktobrī. Karma ir uzņēmusies atbildību par uzbrukumiem vairāk nekā 40 Izraēlas vienībām, izmantojot Telegram, lai demonstrētu savāktos datus vai pierādījumus par izdzēstiem diskiem, pastiprinot to darbību ietekmi. Albānijas operācijās bija iesaistīta persona, kas pazīstama kā Homeland Justice, un daži no nozagtajiem failiem tika nopludināti telegrammā.

Šī taktika cieši atspoguļo Sandworm (APT44) modus operandi, kas ir pazīstams ar hacktivist tematisko Telegram kanālu izmantošanu, piemēram, XakNet Team, CyberArmyofRussia_Reborn un Solntsepek.

Intriģējošs atklājums ir tāds, ka Void Manticore noteiktos gadījumos šķiet, ka deleģē apdraudētās infrastruktūras kontroli Scarred Manticore. Scarred Manticore specializējas sākotnējās piekļuves noteikšanā, bieži izmantojot ievainojamības, piemēram, Microsoft Sharepoint CVE-2019-0604 trūkumu, SMB sānu pārvietošanu un e-pasta ziņojumu savākšanu. Kad šīs organizācijas ir iefiltrētas, tās tiek nodotas Void Manticore lietderīgās slodzes ievadīšanai, turpmākai sānu kustībai tīklā un datu dzēšanas mehānismu izvietošanai.

BiBi tīrītājs turpina attīstīt savas postošās spējas

Void Manticore destruktīvajām darbībām izmanto dažādus rīkus, tostarp tīmekļa čaulas, manuālas dzēšanas rīkus, pielāgotus tīrītājus un akreditācijas datu pārbaudes rīkus.

Jaunākās ļaunprogrammatūras BiBi Wiper iterācijas manipulē ar nesistēmas failiem, aizstājot tos ar nejaušiem datiem un pievienojot nejauši ģenerētu paplašinājumu, kas satur identifikatoru “BiBi”. BiBi izpaužas gan Linux, gan Windows variantos, katram no kuriem ir atšķirīgas īpašības un darbības nianses.

Linux vidēs BiBi ierosina vairākus pavedienus, kas atbilst pieejamajiem CPU kodoliem, lai paātrinātu dzēšanas procesu. Un otrādi, BiBi Windows versijā nav iekļauti .sys, .exe un .dll faili, lai novērstu sistēmas atsāknēšanu.

Atšķirībā no iepriekšējām iterācijām atjauninātie varianti ir paredzēti tikai Izraēlas sistēmām un atturas no ēnu kopiju dzēšanas vai sistēmas kļūdu atkopšanas ekrāna atspējošanas. Tomēr tagad tie no diska noņem nodalījuma informāciju, palielinot datu atkopšanas izaicinājumu.

Partition Wipers īpaši koncentrējas uz sistēmas nodalījumu tabulu, padarot diska izkārtojumu neatgriezenisku. Tas apgrūtina centienus atjaunot datus un palielina nodarītā kaitējuma apmēru. Cietušie bieži saskaras ar zilu nāves ekrānu (BSOD) vai sistēmas avārijām pēc atsāknēšanas, jo šie tīrītāji ietekmē gan galvenā sāknēšanas ieraksta (MBR), gan GUID nodalījumu tabulas (GPT) nodalījumus.