BiBi-Linux Wiper Malware brugt mod israelske mål

En nyopdaget malware kaldet BiBi-Linux bliver brugt i angreb rettet mod Linux-systemer ejet af israelske virksomheder med den hensigt at slette data.

Incident Response-teamet hos Security Joes afslørede denne ondsindede nyttelast, mens de undersøgte et sikkerhedsbrud i en israelsk organisations netværk. Lige nu er det kun to sikkerhedsleverandørers malware-scanningsmotorer, der genkender BiBi-Linux som en trussel, som rapporteret af VirusTotal.

Denne malware udmærker sig ved ikke at efterlade en løsesumseddel eller nogen måde, hvorpå ofrene kan kontakte angriberne for løsesumsforhandlinger, selvom den foregiver at kryptere filer.

Med ordene fra forskere med Security Joes: "Denne nye trussel etablerer ikke kommunikation med remote Command & Control (C2)-servere til dataeksfiltrering, bruger ikke reversible krypteringsalgoritmer eller anvender løsesumsedler for at presse ofrene til at foretage betalinger." I stedet korrumperer det filer ved at overskrive dem med ubrugelige data, hvilket forårsager skade på både data og operativsystem.

BiBi-Linux - Driftstilstand

Nyttelasten, identificeret som en x64 ELF-eksekverbar fil med navnet bibi-linux.out, giver angriberne mulighed for at vælge, hvilke mapper der skal krypteres ved hjælp af kommandolinjeparametre. Hvis den køres med rodrettigheder og ingen specifik målsti angivet, kan den fuldstændig udslette operativsystemet på en kompromitteret enhed ved at forsøge at slette hele '/'-rodmappen.

BiBi-Linux anvender flere tråde og et køsystem for at øge hastigheden og effektiviteten. Det overskriver filindholdet, gør det ubrugeligt, og tilføjer et løsesum-lignende navn og en udvidelse, der indeholder udtrykket 'BiBi' (et kaldenavn forbundet med Israels premierminister, Benjamin Netanyahu) efterfulgt af et nummer.

Det vedhæftede tal angiver antallet af gange, en fil er blevet slettet, som observeret af BleepingComputer. Især mangler malwareprøven opdaget af Security Joes nogen form for sløring, pakning eller andre beskyttelsesforanstaltninger, hvilket forenkler arbejdet for malwareanalytikere.

Dette tyder på, at trusselsaktørerne ikke er alt for bekymrede over, at deres værktøjer bliver opdaget og dissekeret; i stedet fokuserer de på at maksimere virkningen af deres angreb.

Destruktiv malware er også blevet brugt i vid udstrækning af russiske trusselsgrupper til at målrette mod ukrainske organisationer, især efter Ruslands invasion af Ukraine i februar 2022. Bemærkelsesværdig wiper-malware anvendt til sådanne angreb omfatter DoubleZero, HermeticWiper, IsaacWiper, WhisperKill, WhisperGate, CaddyWiper og AcidRain.

For eksempel brugte russiske Sandworm-militærhackere i januar fem forskellige malware-stammer til at slette data på netværket af Ukraines nationale nyhedsbureau (Ukrinform).