BiBi Wiper

Uma nova variante do malware BiBi Wiper foi observada visando a tabela de partição do disco, complicando a restauração de dados e prolongando o tempo de inatividade de suas vítimas. Os ataques usando BiBi Wiper em Israel e na Albânia foram atribuídos a um suposto grupo de hackers iraniano conhecido como Void Manticore (Storm-842), que se acredita ser afiliado ao Ministério de Inteligência e Segurança do Irã (MOIS).

Os pesquisadores identificaram o BiBi Wiper pela primeira vez em outubro de 2023, o que levou o CERT de Israel a emitir um alerta em novembro de 2023 sobre extensos ataques cibernéticos contra organizações críticas no país. Um relatório recente revelou versões mais recentes do BiBi Wiper junto com outros dois limpadores personalizados, Cl Wiper e Partition Wiper, empregados pelo mesmo grupo de ameaças.

Os Cibercriminosos do Void Manticore podem Se Esconder atrás de Falsas Personlidades

Suspeita-se que o Void Manticore opere sob o disfarce do grupo de hacktivismo Karma no Telegram, surgido após o ataque do Hamas a Israel em outubro. Karma assumiu a responsabilidade por ataques a mais de 40 entidades israelenses, usando o Telegram para exibir dados coletados ou evidências de unidades apagadas, amplificando o impacto de suas atividades. As operações albanesas envolveram uma pessoa conhecida como Homeland Justice, e alguns dos arquivos furtados vazaram no Telegram.

Essa tática reflete de perto o modus operandi do Sandworm (APT44), conhecido por utilizar canais do Telegram com temática hacktivista, como o XakNet Team, CyberArmyofRussia_Reborn e Solntsepek.

Uma revelação intrigante é que o Void Manticore parece delegar o controle da infraestrutura comprometida ao Scarred Manticore em certos casos. O Scarred Manticore é especializado em estabelecer acesso inicial, muitas vezes explorando vulnerabilidades como a falha CVE-2019-0604 do Microsoft Sharepoint, conduzindo movimentação lateral de SMB e coletando e-mails. Uma vez infiltradas, essas organizações são então repassadas ao Void Manticore para injeção de carga útil, maior movimento lateral dentro da rede e implantação de mecanismos de limpeza de dados.

O BiBi Continua a Evoluir Suas Capacidades Destrutivas

O Void Manticore emprega uma variedade de ferramentas para suas atividades destrutivas, incluindo web shells, ferramentas de exclusão manual, limpadores personalizados e ferramentas de verificação de credenciais.

As últimas iterações do malware BiBi Wiper adulteram arquivos que não são do sistema, substituindo-os por dados aleatórios e anexando uma extensão gerada aleatoriamente contendo o identificador ‘BiBi’. BiBi se manifesta em variantes Linux e Windows, cada uma com características e nuances operacionais distintas.

Em ambientes Linux, o BiBi inicia vários threads correspondentes aos núcleos de CPU disponíveis para agilizar o processo de limpeza. Por outro lado, a versão Windows do BiBi exclui arquivos .sys, .exe e .dll para evitar que o sistema não inicialize.

Em contraste com as iterações anteriores, as variantes atualizadas visam exclusivamente sistemas israelenses e evitam apagar cópias de sombra ou desativar a tela de recuperação de erros do sistema. No entanto, agora eliminam informações de partição do disco, aumentando o desafio da recuperação de dados.

Os Partition Wipers concentram-se especificamente na tabela de partição do sistema, tornando o layout do disco irrecuperável. Isto complica os esforços para restaurar dados e amplifica a extensão dos danos infligidos. As vítimas geralmente encontram uma tela azul da morte (BSOD) ou travamentos do sistema na reinicialização, pois esses limpadores afetam as partições Master Boot Record (MBR) e GUID Partition Table (GPT).