Malware BiBi-Windows Wiper utilizado contra Israel

Los investigadores de seguridad han emitido una advertencia sobre una versión para Windows de un malware de limpieza que anteriormente se había dirigido a sistemas Linux en ataques cibernéticos contra Israel.

Llamada BiBi-Windows Wiper por BlackBerry, esta contraparte de Windows de BiBi-Linux Wiper, utilizada por un grupo hacktivista pro-Hamás después de la guerra entre Israel y Hamás, sugiere un desarrollo continuo del malware por parte de los actores de amenazas. Esta variante de Windows significa una expansión del ataque para abarcar las máquinas de los usuarios finales y los servidores de aplicaciones. La empresa canadiense reveló esta información el viernes.

Una empresa eslovaca de ciberseguridad, que rastreó al actor detrás del limpiador como BiBiGun, identificó la variante de Windows (bibi.exe) como diseñada para sobrescribir recursivamente datos en el directorio C:\Users con datos basura, agregando .BiBi al nombre del archivo. Compilado el 21 de octubre de 2023, dos semanas después del inicio de la guerra, el método de distribución sigue siendo desconocido en la actualidad.

BiBi-Windows Wiper corrompe todos los archivos, excepto aquellos con extensiones .exe, .dll y .sys. Además, elimina instantáneas del sistema, lo que impide que las víctimas recuperen archivos. Al igual que su contraparte de Linux, la variante de Windows demuestra capacidad de subprocesos múltiples. El uso del artefacto en ataques del mundo real y sus objetivos específicos aún no están claros por el momento.

¿En qué se diferencia el Wiper Malware del Ransomware?

El malware Wiper y el ransomware son tipos de software malicioso diseñados para causar daño a los sistemas informáticos, pero difieren en sus objetivos y funcionalidades principales:

Objetivo:

• Wiper Malware: el objetivo principal del malware Wiper es destruir o borrar datos en un sistema específico. Su propósito es causar perturbaciones, daños o sabotajes en lugar de extorsionar.
• Ransomware: el ransomware, por otro lado, tiene como objetivo cifrar archivos en el sistema de la víctima y luego exige un rescate (generalmente en criptomonedas) a la víctima a cambio de la clave de descifrado. El motivo principal es el beneficio económico.

Manejo de datos:

• Wiper Malware: El malware Wiper destruye o corrompe irreversiblemente los datos, haciéndolos inaccesibles y, a menudo, dejando el sistema inoperable.
• Ransomware: el ransomware cifra los datos, haciéndolos inaccesibles, pero potencialmente pueden restaurarse si la víctima paga el rescate y obtiene la clave de descifrado.

Comunicación con las víctimas:

• Wiper Malware: el malware Wiper normalmente no se comunica con la víctima. Una vez activado, lleva a cabo sus acciones destructivas sin negociación ni exigencia alguna.
• Ransomware: el ransomware se comunica con la víctima y muestra notas de rescate que brindan instrucciones sobre cómo pagar el rescate y recibir la clave de descifrado.

Recuperación:

• Wiper Malware: la recuperación de ataques de malware de limpieza puede ser desafiante o incluso imposible, ya que los datos quedan dañados o destruidos permanentemente.
• Ransomware: si bien no se recomienda pagar el rescate, algunas víctimas optan por pagar para obtener la clave de descifrado, lo que podría restaurar sus archivos. Sin embargo, esto no garantiza la recuperación de todos los datos y puede fomentar más actividades delictivas.