Brisalec BiBi

Opažena je bila nova različica zlonamerne programske opreme BiBi Wiper, ki cilja na particijsko tabelo diska, kar otežuje obnovitev podatkov in podaljšuje čas nedelovanja za žrtve. Napadi z BiBi Wiperjem na Izrael in Albanijo so bili izsledeni do domnevne iranske hekerske skupine, znane kot Void Manticore (Storm-842), ki naj bi bila povezana z iranskim ministrstvom za obveščevalno in varnostno dejavnost (MOIS).

Raziskovalci so BiBi Wiper prvič identificirali oktobra 2023, zaradi česar je izraelski CERT novembra 2023 izdal opozorilo o obsežnih kibernetskih napadih na kritične organizacije v državi. Nedavno poročilo je razkrilo novejše različice brisalca BiBi skupaj z dvema drugima brisalcema po meri, Cl Wiper in Partition Wiper, ki jih uporablja ista skupina groženj.

Kibernetski kriminalci Void Manticore se morda skrivajo za lažnimi osebami

Obstaja sum, da Void Manticore deluje pod krinko haktivistične skupine Karma na Telegramu, ki se je pojavila po napadu Hamasa na Izrael oktobra. Karma je prevzela odgovornost za napade na več kot 40 izraelskih subjektov, pri čemer uporablja Telegram za predstavitev zbranih podatkov ali dokazov o izbrisanih pogonih, s čimer povečuje vpliv svojih dejavnosti. Albanske operacije so vključevale osebo, znano kot Domovinsko pravosodje, in nekatere od ukradenih datotek so pricurljale v Telegram.

Ta taktika natančno odraža modus operandi Sandworma (APT44), znanega po uporabi kanalov Telegram s haktivistično tematiko, kot so XakNet Team, CyberArmyofRussia_Reborn in Solntsepek.

Zanimivo razkritje je, da se zdi, da Void Manticore v določenih primerih prenese nadzor nad ogroženo infrastrukturo na Scarred Manticore. Scarred Manticore je specializiran za vzpostavitev začetnega dostopa, pri čemer pogosto izkorišča ranljivosti, kot je napaka Microsoft Sharepoint CVE-2019-0604, izvaja stransko gibanje SMB in zbira e-pošto. Ko se te organizacije infiltrirajo, se nato prenesejo na Void Manticore za vbrizgavanje tovora, nadaljnje bočno premikanje znotraj omrežja in uvedbo mehanizmov za brisanje podatkov.

BiBi Wiper še naprej razvija svoje uničevalne sposobnosti

Void Manticore uporablja vrsto orodij za svoje destruktivne dejavnosti, vključno s spletnimi lupinami, orodji za ročno brisanje, brisalci po meri in orodji za preverjanje poverilnic.

Najnovejše ponovitve zlonamerne programske opreme BiBi Wiper posegajo v nesistemske datoteke tako, da jih nadomestijo z naključnimi podatki in dodajo naključno ustvarjeno razširitev, ki vsebuje identifikator 'BiBi'. BiBi se pojavlja v različicah Linuxa in Windows, od katerih ima vsaka svoje značilnosti in operativne nianse.

V okoljih Linux BiBi sproži več niti, ki ustrezajo razpoložljivim jedrom CPU, da pospeši postopek brisanja. Nasprotno pa različica BiBi za Windows izključuje datoteke .sys, .exe in .dll, da prepreči onemogočanje zagona sistema.

V nasprotju s prejšnjimi ponovitvami posodobljene različice ciljajo izključno na izraelske sisteme in se vzdržijo brisanja senčnih kopij ali onemogočanja zaslona za obnovitev napak sistema. Vendar zdaj z diska odstranijo informacije o particiji, kar povečuje izziv obnovitve podatkov.

Brisalci particij se osredotočajo posebej na particijsko tabelo sistema, zaradi česar je postavitev diska nepopravljiva. To oteži prizadevanja za obnovitev podatkov in poveča obseg povzročene škode. Žrtve se ob ponovnem zagonu pogosto soočijo z modrim zaslonom smrti (BSOD) ali zrušitvijo sistema, saj ti brisalci vplivajo tako na particijo Master Boot Record (MBR) kot na particijo GUID Partition Table (GPT).