БиБи Випер

Уочена је нова варијанта малвера БиБи Випер која циља на табелу партиција диска, што компликује обнављање података и продужава време застоја за своје жртве. Напади коришћењем БиБи Випер-а на Израел и Албанију су праћени до осумњичене иранске хакерске групе познате као Воид Мантицоре (Олуја-842), за коју се верује да је повезана са иранским Министарством обавештајних послова и безбедности (МОИС).

Истраживачи су први пут идентификовали БиБи Випер у октобру 2023., што је навело израелски ЦЕРТ да у новембру 2023. изда упозорење о обимним сајбер нападима на критичне организације у земљи. Недавни извештај је открио новије верзије БиБи брисача заједно са још два прилагођена брисача, Цл Випер и Партитион Випер, које користи иста група претњи.

Сајбер-криминалци Воид Мантицоре могу се сакрити иза лажних личности

Сумња се да Воид Мантицоре делује под маском групе за хактивизам Карма на Телеграму, која се појавила након напада Хамаса на Израел у октобру. Карма је преузела одговорност за нападе на више од 40 израелских ентитета, користећи Телеграм да прикаже прикупљене податке или доказе о избрисаним дисковима, појачавајући утицај њихових активности. Албанске операције укључивале су особу познату као Домовинска правда, а неки од украдених фајлова су процурили на Телеграм.

Ова тактика блиско одражава модус операнди Сандворма (АПТ44), познатог по коришћењу Телеграм канала са хактивистичким темама, као што су КсакНет Теам, ЦиберАрмиофРуссиа_Реборн и Солнтсепек.

Интригантно откриће је да се чини да Празнина Мантикора у одређеним случајевима делегира контролу над угроженом инфраструктуром на Сцарред Мантицоре. Сцарред Мантицоре је специјализован за успостављање почетног приступа, често искоришћавајући рањивости као што је грешка Мицрософт Схарепоинт ЦВЕ-2019-0604, обављање СМБ бочног кретања и прикупљање е-поште. Када се инфилтрирају, ове организације се затим прослеђују Воид Мантицоре за убризгавање корисног терета, даље бочно кретање унутар мреже и постављање механизама за брисање података.

БиБи брисач наставља да развија своје деструктивне способности

Воид Мантицоре користи низ алата за своје деструктивне активности, укључујући веб шкољке, алатке за ручно брисање, прилагођене брисаче и алате за верификацију акредитива.

Најновије итерације злонамерног софтвера БиБи Випер мењају несистемске датотеке тако што их замењују насумичним подацима и додају насумично генерисану екстензију која садржи идентификатор „БиБи“. БиБи се манифестује и у Линук иу Виндовс варијанти, од којих свака има различите карактеристике и оперативне нијансе.

У Линук окружењима, БиБи покреће више нити које одговарају доступним ЦПУ језграма да би се убрзао процес брисања. Насупрот томе, Виндовс верзија БиБи-а искључује .сис, .еке и .длл датотеке како би се спречило да систем не може да се покрене.

За разлику од претходних итерација, ажуриране варијанте циљају искључиво на израелске системе и уздржавају се од брисања копија у сенци или онемогућавања екрана система за опоравак од грешака. Међутим, они сада елиминишу информације о партицијама са диска, што повећава изазов опоравка података.

Брисачи партиција се посебно фокусирају на системску табелу партиција, чинећи изглед диска неповратним. Ово компликује напоре за обнављање података и повећава обим нанете штете. Жртве се често сусрећу са плавим екраном смрти (БСОД) или кваровима система након поновног покретања, јер ови брисачи утичу и на главни запис за покретање (МБР) и на ГУИД партициону табелу (ГПТ) партиције.