Fshirëse BiBi

Një variant i ri i malware BiBi Wiper është vërejtur që synon tabelën e ndarjes së diskut, duke komplikuar restaurimin e të dhënave dhe duke zgjatur kohën e ndërprerjes për viktimat e tij. Sulmet që përdorin BiBi Wiper në Izrael dhe Shqipëri janë gjurmuar te një grup i dyshuar i hakerëve iranian i njohur si Void Manticore (Storm-842), që besohet të jetë i lidhur me Ministrinë e Inteligjencës dhe Sigurisë së Iranit (MOIS).

Studiuesit identifikuan për herë të parë BiBi Wiper në tetor 2023, gjë që bëri që CERT i Izraelit të lëshonte një paralajmërim në nëntor 2023 për sulme të gjera kibernetike kundër organizatave kritike në vend. Një raport i fundit ka zbuluar versione më të reja të BiBi Wiper së bashku me dy fshirëse të tjerë me porosi, Cl Wiper dhe Partition Wiper, të përdorura nga i njëjti grup kërcënimi.

Kriminelët kibernetikë Void Manticore mund të fshihen pas personave të rremë

Dyshohet se Void Manticore vepron nën maskën e grupit të hakktivizmit Karma në Telegram, i cili u shfaq pas sulmit të Hamasit në Izrael në tetor. Karma ka marrë përgjegjësinë për sulmet ndaj më shumë se 40 subjekteve izraelite, duke përdorur Telegramin për të shfaqur të dhënat e mbledhura ose provat e disqeve të fshira, duke përforcuar ndikimin e aktiviteteve të tyre. Operacionet shqiptare përfshinin një person të njohur si Drejtësia e Atdheut dhe disa nga dosjet e grabitura u zbuluan në Telegram.

Kjo taktikë pasqyron nga afër modus operandi të Sandworm (APT44), i njohur për përdorimin e kanaleve Telegram me tematikë hakktiviste, si Ekipi XakNet, CyberArmyofRussia_Reborn dhe Solntsepek.

Një zbulim intrigues është se Void Manticore duket se delegon kontrollin e infrastrukturës së komprometuar tek Scarred Manticore në raste të caktuara. Scarred Manticore është e specializuar në vendosjen e aksesit fillestar, duke shfrytëzuar shpesh dobësitë si defekti i Microsoft Sharepoint CVE-2019-0604, kryerjen e lëvizjeve anësore të SMB dhe mbledhjen e emaileve. Pasi të infiltohen, këto organizata kalohen më pas në Void Manticore për injektim të ngarkesës, lëvizje të mëtejshme anësore brenda rrjetit dhe vendosjen e mekanizmave të fshirjes së të dhënave.

Fshirësi BiBi vazhdon të zhvillojë aftësitë e tij shkatërruese

Void Manticore përdor një sërë mjetesh për aktivitetet e tij shkatërruese, duke përfshirë predhat e uebit, mjetet e fshirjes manuale, fshirëset me porosi dhe mjetet e verifikimit të kredencialeve.

Përsëritjet më të fundit të programit malware BiBi Wiper manipulojnë skedarët jo-sistem duke i zëvendësuar ato me të dhëna të rastësishme dhe duke shtuar një shtesë të krijuar rastësisht që përmban identifikuesin "BiBi". BiBi manifestohet si në variantet Linux ashtu edhe në Windows, secila me karakteristika dhe nuanca të veçanta operacionale.

Në mjediset Linux, BiBi inicion fije të shumta që korrespondojnë me bërthamat e disponueshme të CPU-së për të përshpejtuar procesin e fshirjes. Anasjelltas, versioni i Windows i BiBi përjashton skedarët .sys, .exe dhe .dll për të parandaluar bërjen e sistemit të pabootueshëm.

Ndryshe nga përsëritjet e mëparshme, variantet e përditësuara synojnë ekskluzivisht sistemet izraelite dhe përmbahen nga fshirja e kopjeve hije ose çaktivizimi i ekranit të rikuperimit të gabimeve të sistemit. Megjithatë, ata tani eliminojnë informacionin e ndarjes nga disku, duke rritur sfidën e rikuperimit të të dhënave.

Fshirësit e ndarjeve fokusohen veçanërisht në tabelën e ndarjes së sistemit, duke e bërë paraqitjen e diskut të pakthyeshme. Kjo ndërlikon përpjekjet për të rivendosur të dhënat dhe përforcon shkallën e dëmit të shkaktuar. Viktimat shpesh hasin në një ekran blu të vdekjes (BSOD) ose përplasje të sistemit pas rindezjes, pasi këto fshirëse prekin si ndarjet Master Boot Record (MBR) dhe GUID Partition Table (GPT).