Ștergător BiBi

O nouă variantă a malware-ului BiBi Wiper a fost observată care vizează tabelul de partiții ale discului, complicând restaurarea datelor și extinzând timpul de nefuncționare pentru victimele sale. Atacurile cu BiBi Wiper asupra Israelului și Albaniei au fost urmărite de un grup de hacking iranian suspectat, cunoscut sub numele de Void Manticore (Storm-842), despre care se crede că este afiliat Ministerului de Informații și Securitate al Iranului (MOIS).

Cercetătorii au identificat pentru prima dată BiBi Wiper în octombrie 2023, ceea ce a determinat CERT din Israel să emită un avertisment în noiembrie 2023 cu privire la atacurile cibernetice extinse împotriva organizațiilor critice din țară. Un raport recent a dezvăluit versiuni mai noi ale BiBi Wiper împreună cu alte două ștergătoare personalizate, Cl Wiper și Partition Wiper, folosite de același grup de amenințări.

Criminalii cibernetici Void Manticore se pot ascunde în spatele unor persoane false

Se suspectează că Void Manticore operează sub masca grupului de hacktivism Karma de pe Telegram, apărut în urma atacului Hamas asupra Israelului din octombrie. Karma și-a asumat responsabilitatea pentru atacurile asupra a peste 40 de entități israeliene, folosind Telegram pentru a prezenta date culese sau dovezi ale unităților șterse, amplificând impactul activităților lor. Operațiunile din Albania au implicat o persoană cunoscută sub numele de Homeland Justice, iar unele dintre dosarele furate au fost divulgate pe Telegram.

Această tactică oglindește îndeaproape modus operandi al Sandworm (APT44), cunoscut pentru utilizarea canalelor Telegram cu tematică hacktivista, cum ar fi XakNet Team, CyberArmyofRussia_Reborn și Solntsepek.

O revelație intrigantă este că Void Manticore pare să delege controlul infrastructurii compromise Scarred Manticore în anumite cazuri. Scarred Manticore este specializată în stabilirea accesului inițial, exploatând adesea vulnerabilități precum defectul Microsoft Sharepoint CVE-2019-0604, efectuarea mișcării laterale a IMM-urilor și colectarea e-mailurilor. Odată infiltrate, aceste organizații sunt apoi transmise la Void Manticore pentru injectarea sarcinii utile, mișcare laterală suplimentară în cadrul rețelei și implementarea mecanismelor de ștergere a datelor.

Ștergătorul BiBi continuă să-și evolueze capacitățile distructive

Void Manticore folosește o serie de instrumente pentru activitățile sale distructive, inclusiv shell-uri web, instrumente de ștergere manuală, ștergătoare personalizate și instrumente de verificare a acreditărilor.

Cele mai recente iterații ale programului malware BiBi Wiper modifică fișierele non-sistem, înlocuindu-le cu date aleatorii și adăugând o extensie generată aleatoriu care conține identificatorul „BiBi”. BiBi se manifestă atât în variantele Linux, cât și în Windows, fiecare cu caracteristici și nuanțe operaționale distincte.

În mediile Linux, BiBi inițiază mai multe fire care corespund nucleelor CPU disponibile pentru a accelera procesul de ștergere. În schimb, versiunea pentru Windows a BiBi exclude fișierele .sys, .exe și .dll pentru a preveni ca sistemul să nu fie pornit.

Spre deosebire de iterațiile anterioare, variantele actualizate vizează exclusiv sistemele israeliene și se abțin de la ștergerea umbrelor sau de a dezactiva ecranul de recuperare a erorilor din sistem. Cu toate acestea, acum elimină informațiile de partiție de pe disc, sporind provocarea recuperării datelor.

Partition Wipers se concentrează în mod special pe tabelul de partiții a sistemului, făcând aspectul discului irecuperabil. Acest lucru complică eforturile de restaurare a datelor și amplifică amploarea daunelor cauzate. Victimele se confruntă adesea cu un ecran albastru al morții (BSOD) sau se blochează sistemul la repornire, deoarece aceste ștergătoare afectează atât partițiile Master Boot Record (MBR) cât și GUID Partition Table (GPT).