BiBi-wisser

Er is een nieuwe variant van de BiBi Wiper-malware waargenomen die zich richt op de schijfpartitietabel, waardoor het gegevensherstel wordt bemoeilijkt en de downtime voor de slachtoffers wordt verlengd. Aanvallen met behulp van BiBi Wiper op Israël en Albanië zijn terug te voeren op een vermoedelijke Iraanse hackgroep, bekend als Void Manticore (Storm-842), vermoedelijk aangesloten bij het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS).

Onderzoekers identificeerden BiBi Wiper voor het eerst in oktober 2023, wat ertoe leidde dat het Israëlische CERT in november 2023 een waarschuwing gaf over uitgebreide cyberaanvallen tegen kritische organisaties in het land. Een recent rapport heeft nieuwere versies van de BiBi Wiper onthuld, samen met twee andere aangepaste ruitenwissers, Cl Wiper en Partition Wiper, die door dezelfde bedreigingsgroep worden gebruikt.

De leegte Manticore Cybercriminelen kunnen zich verschuilen achter valse personen

Er wordt vermoed dat de Void Manticore opereert onder het mom van de Karma-hacktivismegroep op Telegram, die opkwam in de nasleep van de Hamas-aanval op Israël in oktober. Karma heeft de verantwoordelijkheid op zich genomen voor aanvallen op meer dan veertig Israëlische entiteiten, waarbij ze Telegram gebruikt om verzamelde gegevens of bewijsmateriaal van gewiste schijven te presenteren, waardoor de impact van hun activiteiten wordt vergroot. Bij de Albanese operaties was een persoon betrokken die bekend stond als Homeland Justice, en sommige van de gestolen bestanden lekten op Telegram.

Deze tactiek weerspiegelt nauw de modus operandi van Sandworm (APT44), bekend om het gebruik van Telegram-kanalen met een hacktivistisch thema, zoals het XakNet Team, CyberArmyofRusland_Reborn en Solntsepek.

Een intrigerende onthulling is dat de Void Manticore in bepaalde gevallen de controle over de gecompromitteerde infrastructuur lijkt te delegeren aan Scarred Manticore. The Scarred Manticore is gespecialiseerd in het tot stand brengen van initiële toegang, waarbij vaak gebruik wordt gemaakt van kwetsbaarheden zoals de Microsoft Sharepoint CVE-2019-0604-fout, het uitvoeren van laterale verplaatsingen van SMB en het verzamelen van e-mails. Eenmaal geïnfiltreerd worden deze organisaties vervolgens doorgegeven aan Void Manticore voor de injectie van payload, verdere zijwaartse beweging binnen het netwerk en de inzet van mechanismen voor het wissen van gegevens.

De BiBi Wiper blijft zijn destructieve eigenschappen ontwikkelen

The Void Manticore maakt gebruik van een reeks tools voor zijn destructieve activiteiten, waaronder webshells, tools voor handmatige verwijdering, aangepaste wipers en tools voor verificatie van inloggegevens.

De nieuwste versies van de BiBi Wiper-malware knoeien met niet-systeembestanden door ze te vervangen door willekeurige gegevens en een willekeurig gegenereerde extensie toe te voegen met de 'BiBi'-identificatie. BiBi manifesteert zich in zowel Linux- als Windows-varianten, elk met verschillende kenmerken en operationele nuances.

In Linux-omgevingen initieert BiBi meerdere threads die overeenkomen met de beschikbare CPU-kernen om het wisproces te versnellen. Omgekeerd sluit de Windows-versie van BiBi .sys-, .exe- en .dll-bestanden uit om te voorkomen dat het systeem niet meer kan worden opgestart.

In tegenstelling tot eerdere versies richten de bijgewerkte varianten zich uitsluitend op Israëlische systemen en onthouden ze zich van het wissen van schaduwkopieën of het uitschakelen van het foutherstelscherm van het systeem. Ze elimineren nu echter partitie-informatie van de schijf, waardoor de uitdaging van gegevensherstel groter wordt.

De Partitie Wipers richten zich specifiek op de partitietabel van het systeem, waardoor de schijfindeling onherstelbaar wordt. Dit bemoeilijkt de inspanningen om gegevens te herstellen en vergroot de omvang van de toegebrachte schade. Slachtoffers krijgen vaak te maken met een blue screen of death (BSOD) of systeemcrashes bij het opnieuw opstarten, omdat deze ruitenwissers zowel de Master Boot Record (MBR) als de GUID Partition Table (GPT) partities beïnvloeden.