Wycieraczka BiBi

Zaobserwowano nowy wariant złośliwego oprogramowania BiBi Wiper, którego celem jest tablica partycji dysku, co komplikuje przywracanie danych i wydłuża czas przestoju ofiar. Ataki przy użyciu BiBi Wiper na Izrael i Albanię powiązano z podejrzaną irańską grupą hakerską znaną jako Void Manticore (Storm-842), prawdopodobnie powiązaną z irańskim Ministerstwem Wywiadu i Bezpieczeństwa (MOIS).

Badacze po raz pierwszy zidentyfikowali BiBi Wiper w październiku 2023 r., co skłoniło izraelski CERT do wydania w listopadzie 2023 r. ostrzeżenia o szeroko zakrojonych cyberatakach na krytyczne organizacje w kraju. Niedawny raport ujawnił nowsze wersje narzędzia BiBi Wiper wraz z dwoma innymi niestandardowymi wycieraczkami, Cl Wiper i Partition Wiper, wykorzystywanymi przez tę samą grupę zagrożeń.

Cyberprzestępcy z Void Manticore mogą ukrywać się za fałszywymi osobami

Podejrzewa się, że Void Manticore działa pod przykrywką grupy haktywizmu Karma w Telegramie, która pojawiła się po październikowym ataku Hamasu na Izrael. Karma wzięła odpowiedzialność za ataki na ponad 40 izraelskich podmiotów, wykorzystując Telegram do prezentowania zebranych danych lub dowodów wyczyszczenia dysków, co wzmacnia wpływ ich działań. W albańskie operacje zaangażowana była osoba znana jako Homeland Justice, a część skradzionych plików wyciekła do Telegramu.

Taktyka ta ściśle odzwierciedla modus operandi Sandworma (APT44), znanego z wykorzystywania kanałów Telegramu o tematyce haktywistycznej, takich jak XakNet Team, CyberArmyofRussia_Reborn i Solntsepek.

Intrygującym odkryciem jest to, że w niektórych przypadkach Mantykora Pustki wydaje się przekazywać kontrolę nad zaatakowaną infrastrukturą Bliznowatej Mantikorze. Scarred Manticore specjalizuje się w ustanawianiu początkowego dostępu, często wykorzystując luki w zabezpieczeniach, takie jak luka Microsoft Sharepoint CVE-2019-0604, przeprowadzając ruch boczny SMB i przechwytując wiadomości e-mail. Po infiltracji organizacje te są następnie przekazywane do Void Manticore w celu wstrzyknięcia ładunku, dalszego ruchu bocznego w sieci i wdrożenia mechanizmów usuwania danych.

Wycieraczka BiBi stale rozwija swoje niszczycielskie możliwości

Void Manticore wykorzystuje szereg narzędzi do swoich destrukcyjnych działań, w tym powłoki internetowe, narzędzia do ręcznego usuwania, niestandardowe wycieraczki i narzędzia do weryfikacji danych uwierzytelniających.

Najnowsze wersje złośliwego oprogramowania BiBi Wiper manipulują plikami niesystemowymi, zastępując je losowymi danymi i dołączając losowo wygenerowane rozszerzenie zawierające identyfikator „BiBi”. BiBi manifestuje się zarówno w wariantach Linux, jak i Windows, każdy z odmiennymi cechami i niuansami operacyjnymi.

W środowiskach Linux BiBi inicjuje wiele wątków odpowiadających dostępnym rdzeniom procesora, aby przyspieszyć proces czyszczenia. I odwrotnie, wersja BiBi dla systemu Windows wyklucza pliki .sys, .exe i .dll, aby zapobiec uniemożliwianiu uruchomienia systemu.

W przeciwieństwie do poprzednich iteracji, zaktualizowane warianty są przeznaczone wyłącznie dla systemów izraelskich i nie usuwają kopii w tle ani nie wyłączają ekranu odzyskiwania po błędzie systemu. Jednak teraz eliminują informacje o partycjach z dysku, co zwiększa wyzwanie związane z odzyskiwaniem danych.

Funkcja wycierania partycji skupia się w szczególności na tablicy partycji systemu, czyniąc układ dysku niemożliwym do odzyskania. Komplikuje to wysiłki mające na celu przywrócenie danych i zwiększa zakres wyrządzonych szkód. Ofiary często napotykają niebieski ekran śmierci (BSOD) lub awarię systemu po ponownym uruchomieniu, ponieważ te czyszczenia wpływają zarówno na partycje głównego rekordu rozruchowego (MBR), jak i partycji tabeli partycji GUID (GPT).