BiBi-Windows Wiper Malware brugt mod Israel

Sikkerhedsforskere har udsendt en advarsel om en Windows-version af en wiper-malware, der tidligere havde målrettet Linux-systemer i cyberangreb mod Israel.

Navnet BiBi-Windows Wiper af BlackBerry, denne Windows-modstykke til BiBi-Linux Wiper, brugt af en pro-Hamas hacktivist-gruppe efter Israel-Hamas-krigen, antyder en igangværende udvikling af malwaren fra trusselsaktørerne. Denne Windows-variant betyder en udvidelse af angrebet til at omfatte slutbrugermaskiner og applikationsservere. Det canadiske selskab afslørede disse oplysninger fredag.

Et slovakisk cybersikkerhedsfirma, der sporede aktøren bag viskeren som BiBiGun, identificerede Windows-varianten (bibi.exe) som designet til rekursivt at overskrive data i mappen C:\Users med uønsket data, og tilføjede .BiBi til filnavnet. Udarbejdet den 21. oktober 2023, to uger efter krigen begyndte, er distributionsmetoden stadig ukendt.

BiBi-Windows Wiper ødelægger alle filer, undtagen dem med .exe-, .dll- og .sys-udvidelser. Derudover sletter den skyggekopier fra systemet, hvilket forhindrer ofre i at genoprette filer. I lighed med sin Linux-modstykke demonstrerer Windows-varianten multithreading-evne. Artefaktens indsættelse i angreb fra den virkelige verden og dets specifikke mål forbliver uklare i øjeblikket.

Hvordan er Wiper Malware forskellig fra Ransomware?

Wiper malware og ransomware er begge typer ondsindet software designet til at forårsage skade på computersystemer, men de adskiller sig i deres primære mål og funktionaliteter:

Objektiv:

• Wiper Malware: Hovedmålet med wiper malware er at ødelægge eller udslette data på et målrettet system. Dens formål er at forårsage forstyrrelse, skade eller sabotage i stedet for at afpresse penge.
• Ransomware: Ransomware har på den anden side til formål at kryptere filer på et offers system og kræver derefter en løsesum (normalt i kryptovaluta) fra offeret i bytte for dekrypteringsnøglen. Det primære motiv er økonomisk gevinst.

Datahåndtering:

• Wiper Malware: Wiper malware ødelægger eller korrumperer data irreversibelt, hvilket gør dem utilgængelige og ofte gør systemet ubrugeligt.
• Ransomware: Ransomware krypterer data, hvilket gør dem utilgængelige, men dataene kan potentielt gendannes, hvis offeret betaler løsesummen og får dekrypteringsnøglen.

Kommunikation med ofre:

• Wiper Malware: Wiper malware kommunikerer typisk ikke med offeret. Når den først er aktiveret, udfører den sine destruktive handlinger uden nogen forhandling eller krav.
• Ransomware: Ransomware kommunikerer med offeret og viser løsesumsedler, der giver instruktioner om, hvordan man betaler løsesummen og modtager dekrypteringsnøglen.

Genopretning:

• Wiper Malware: Gendannelse fra wiper malware-angreb kan være udfordrende eller endda umuligt, da dataene er permanent beskadiget eller ødelagt.
• Ransomware: Selvom det ikke anbefales at betale løsesummen, vælger nogle ofre at betale for at få dekrypteringsnøglen, hvilket potentielt genskaber deres filer. Dette garanterer dog ikke gendannelse af alle data, og det kan tilskynde til yderligere kriminel aktivitet.