Le logiciel malveillant BiBi-Linux Wiper utilisé contre des cibles israéliennes
Un malware récemment découvert appelé BiBi-Linux est utilisé dans des attaques visant les systèmes Linux appartenant à des sociétés israéliennes, dans le but d'effacer des données.
L'équipe de réponse aux incidents de Security Joes a découvert cette charge utile malveillante alors qu'elle enquêtait sur une faille de sécurité au sein du réseau d'une organisation israélienne. Pour l'instant, seuls les moteurs d'analyse des logiciels malveillants de deux fournisseurs de sécurité reconnaissent BiBi-Linux comme une menace, comme le rapporte VirusTotal.
Ce malware se distingue en ne laissant aucune note de rançon ni aucun moyen permettant aux victimes de contacter les attaquants pour négocier une rançon, même s'il prétend crypter des fichiers.
Selon les chercheurs de Security Joes, « cette nouvelle menace n'établit pas de communication avec les serveurs de commande et de contrôle (C2) distants pour l'exfiltration de données, n'utilise pas d'algorithmes de cryptage réversibles et n'utilise pas de notes de rançon pour faire pression sur les victimes afin qu'elles effectuent des paiements. » Au lieu de cela, il corrompt les fichiers en les écrasant avec des données inutiles, ce qui endommage à la fois les données et le système d'exploitation.
BiBi-Linux - Mode de fonctionnement
La charge utile, identifiée comme un exécutable ELF x64 nommé bibi-linux.out, permet aux attaquants de sélectionner les dossiers à chiffrer à l'aide de paramètres de ligne de commande. S'il est exécuté avec les privilèges root et aucun chemin cible spécifique fourni, il peut effacer complètement le système d'exploitation d'un périphérique compromis en tentant de supprimer l'intégralité du répertoire racine « / ».
BiBi-Linux utilise plusieurs threads et un système de file d'attente pour améliorer la vitesse et l'efficacité. Il écrase le contenu des fichiers, les rendant inutilisables, et ajoute un nom ressemblant à une rançon et une extension contenant le terme « BiBi » (un surnom associé au Premier ministre israélien Benjamin Netanyahu) suivi d'un numéro.
Le nombre ajouté signifie le nombre de fois qu'un fichier a été effacé, comme observé par BleepingComputer. Notamment, l’échantillon de malware découvert par Security Joes ne contient aucune mesure d’obscurcissement, de compression ou d’autres mesures de protection, simplifiant ainsi le travail des analystes de malware.
Cela suggère que les acteurs de la menace ne se soucient pas outre mesure de la détection et de l’analyse de leurs outils ; ils se concentrent plutôt sur la maximisation de l’impact de leurs attaques.
Les logiciels malveillants destructeurs ont également été largement utilisés par des groupes de menaces russes pour cibler des organisations ukrainiennes, en particulier après l'invasion de l'Ukraine par la Russie en février 2022. Les logiciels malveillants d'effacement notables utilisés pour de telles attaques incluent DoubleZero, HermeticWiper, IsaacWiper, WhisperKill, WhisperGate, CaddyWiper et AcidRain.
Par exemple, en janvier, les pirates militaires russes Sandworm ont utilisé cinq souches différentes de logiciels malveillants d'effacement de données sur le réseau de l'agence de presse nationale ukrainienne (Ukrinform).