Pengelap BiBi

Satu varian baharu perisian hasad BiBi Wiper telah diperhatikan menyasarkan jadual partition cakera, merumitkan pemulihan data dan memanjangkan masa henti untuk mangsanya. Serangan menggunakan BiBi Wiper ke atas Israel dan Albania telah dikesan kepada kumpulan penggodaman Iran yang disyaki dikenali sebagai Void Manticore (Storm-842), dipercayai mempunyai kaitan dengan Kementerian Perisikan dan Keselamatan Iran (MOIS).

Penyelidik mula-mula mengenal pasti BiBi Wiper pada Oktober 2023, yang menyebabkan CERT Israel mengeluarkan amaran pada November 2023 tentang serangan siber yang meluas terhadap organisasi kritikal di negara itu. Laporan baru-baru ini telah mendedahkan versi BiBi Wiper yang lebih baharu bersama-sama dengan dua pengelap tersuai lain, Cl Wiper dan Partition Wiper, yang digunakan oleh kumpulan ancaman yang sama.

Penjenayah Siber Void Manticore mungkin Bersembunyi di Sebalik Persona Palsu

Adalah disyaki bahawa Void Manticore beroperasi di bawah samaran kumpulan hacktivism Karma di Telegram, yang muncul selepas serangan Hamas ke atas Israel pada bulan Oktober. Karma telah bertanggungjawab atas serangan ke atas lebih 40 entiti Israel, menggunakan Telegram untuk mempamerkan data yang dituai atau bukti pemacu yang dipadam, menguatkan kesan aktiviti mereka. Operasi Albania melibatkan persona yang dikenali sebagai Homeland Justice, dan beberapa fail yang dicuri telah bocor di Telegram.

Taktik ini mencerminkan modus operandi Sandworm (APT44), yang terkenal kerana menggunakan saluran Telegram bertemakan hacktivist seperti Pasukan XakNet, CyberArmyofRussia_Reborn dan Solntsepek.

Pendedahan yang menarik ialah Void Manticore nampaknya mewakilkan kawalan infrastruktur yang terjejas kepada Scarred Manticore dalam kes tertentu. Scarred Manticore pakar dalam mewujudkan akses awal, sering mengeksploitasi kelemahan seperti kecacatan Microsoft Sharepoint CVE-2019-0604, menjalankan pergerakan sisi SMB dan menuai e-mel. Setelah menyusup, organisasi ini kemudiannya dihantar ke Void Manticore untuk suntikan muatan, pergerakan sisi selanjutnya dalam rangkaian, dan penggunaan mekanisme pengelapan data.

Pengelap BiBi Terus Membangunkan Keupayaan Memusnahkannya

Void Manticore menggunakan pelbagai alat untuk aktiviti merosakkannya, termasuk cangkerang Web, alat pemadaman manual, pengelap tersuai dan alat pengesahan kelayakan.

Lelaran terkini perisian hasad BiBi Wiper mengganggu fail bukan sistem dengan menggantikannya dengan data rawak dan menambahkan sambungan yang dijana secara rawak yang mengandungi pengecam 'BiBi'. BiBi menjelma dalam kedua-dua varian Linux dan Windows, masing-masing dengan ciri dan nuansa operasi yang berbeza.

Dalam persekitaran Linux, BiBi memulakan berbilang benang yang sepadan dengan teras CPU yang tersedia untuk mempercepatkan proses mengelap. Sebaliknya, versi Windows BiBi mengecualikan fail .sys, .exe dan .dll untuk mengelakkan sistem tidak boleh diboot.

Berbeza dengan lelaran sebelumnya, varian yang dikemas kini secara eksklusif menyasarkan sistem Israel dan mengelak daripada memadamkan salinan bayangan atau melumpuhkan skrin Pemulihan Ralat sistem. Walau bagaimanapun, mereka kini menghapuskan maklumat partition dari cakera, meningkatkan cabaran pemulihan data.

Pengelap Pemisahan memfokuskan secara khusus pada jadual partition sistem, menjadikan susun atur cakera tidak boleh diperoleh semula. Ini merumitkan usaha untuk memulihkan data dan meningkatkan tahap kerosakan yang berlaku. Mangsa sering menghadapi skrin biru kematian (BSOD) atau sistem ranap semasa but semula, kerana pengelap ini menjejaskan kedua-dua partition Master Boot Record (MBR) dan GUID Partition Table (GPT).