BiBi-Linux Wiper-Malware wird gegen israelische Ziele eingesetzt

Eine neu entdeckte Malware namens BiBi-Linux wird bei Angriffen auf Linux-Systeme israelischer Unternehmen eingesetzt, mit der Absicht, Daten zu löschen.

Das Incident Response-Team von Security Joes entdeckte diese bösartige Nutzlast, als es eine Sicherheitsverletzung im Netzwerk einer israelischen Organisation untersuchte. Derzeit erkennen nur die Malware-Scan-Engines von zwei Sicherheitsanbietern BiBi-Linux als Bedrohung, wie VirusTotal berichtet.

Diese Malware zeichnet sich dadurch aus, dass sie weder einen Lösegeldschein hinterlässt noch den Opfern die Möglichkeit bietet, die Angreifer für Lösegeldverhandlungen zu kontaktieren, obwohl sie vorgibt, Dateien zu verschlüsseln.

In den Worten von Forschern von Security Joes: „Diese neue Bedrohung stellt keine Kommunikation mit entfernten Command & Control (C2)-Servern zur Datenexfiltration her, verwendet keine umkehrbaren Verschlüsselungsalgorithmen und setzt keine Lösegeldforderungen ein, um Opfer zu Zahlungen zu drängen.“ Stattdessen beschädigt es Dateien, indem es sie mit nutzlosen Daten überschreibt, was sowohl den Daten als auch dem Betriebssystem schadet.

BiBi-Linux – Funktionsweise

Die Nutzlast, identifiziert als x64 ELF-ausführbare Datei mit dem Namen bibi-linux.out, ermöglicht es den Angreifern, mithilfe von Befehlszeilenparametern auszuwählen, welche Ordner verschlüsselt werden sollen. Wenn es mit Root-Rechten und ohne Angabe eines bestimmten Zielpfads ausgeführt wird, kann es das Betriebssystem eines kompromittierten Geräts vollständig löschen, indem versucht wird, das gesamte Root-Verzeichnis „/“ zu löschen.

BiBi-Linux verwendet mehrere Threads und ein Warteschlangensystem, um Geschwindigkeit und Effektivität zu erhöhen. Es überschreibt Dateiinhalte, macht sie unbrauchbar und fügt einen Lösegeld-ähnlichen Namen und eine Erweiterung an, die den Begriff „BiBi“ (ein Spitzname des israelischen Premierministers Benjamin Netanyahu) gefolgt von einer Zahl enthält.

Die angehängte Zahl gibt an, wie oft eine Datei gelöscht wurde, wie von BleepingComputer beobachtet. Bemerkenswert ist, dass das von Security Joes entdeckte Malware-Beispiel keinerlei Verschleierung, Verpackung oder andere Schutzmaßnahmen aufweist, was die Arbeit von Malware-Analysten vereinfacht.

Dies deutet darauf hin, dass die Bedrohungsakteure sich keine allzu großen Sorgen darüber machen, dass ihre Tools erkannt und analysiert werden; Stattdessen konzentrieren sie sich darauf, die Wirkung ihrer Angriffe zu maximieren.

Zerstörerische Malware wurde auch von russischen Bedrohungsgruppen in großem Umfang eingesetzt, um ukrainische Organisationen anzugreifen, insbesondere nach der russischen Invasion in der Ukraine im Februar 2022. Zu den bemerkenswerten Wiper-Malware, die für solche Angriffe eingesetzt wird, gehören DoubleZero, HermeticWiper, IsaacWiper, WhisperKill, WhisperGate, CaddyWiper und AcidRain.

Beispielsweise nutzten russische Sandworm-Militärhacker im Januar fünf verschiedene Malware-Varianten zur Datenlöschung im Netzwerk der nationalen Nachrichtenagentur der Ukraine (Ukrinform).