BiBi-Linux ablaktörlő rosszindulatú program izraeli célpontok ellen

A BiBi-Linux nevű újonnan felfedezett rosszindulatú programot az izraeli cégek tulajdonában lévő Linux rendszerek ellen irányuló támadásokban alkalmazzák, azzal a céllal, hogy adatokat töröljenek.

A Security Joes Incident Response csapata egy izraeli szervezet hálózatán belüli biztonsági rést vizsgálva fedezte fel ezt a rosszindulatú rakományt. A VirusTotal jelentése szerint jelenleg csak két biztonsági gyártó rosszindulatú programkereső motorja ismeri fel a BiBi-Linuxot fenyegetésként.

Ez a rosszindulatú program azzal tűnik ki, hogy nem hagy váltságdíj-cselekményt vagy semmilyen eszközt, amellyel az áldozatok kapcsolatba léphetnek a támadókkal a váltságdíj-tárgyalások miatt, még akkor sem, ha úgy tesz, mintha fájlokat titkosítana.

A Security Joes kutatói szerint "Ez az új fenyegetés nem létesít kommunikációt távoli Command & Control (C2) szerverekkel az adatok kiszűrésére, nem használ visszafordítható titkosítási algoritmusokat, és nem alkalmaz váltságdíjat, hogy az áldozatokat fizetésre késztesse." Ehelyett megrongálja a fájlokat azáltal, hogy felesleges adatokkal írja felül őket, ami kárt okoz mind az adatokban, mind az operációs rendszerben.

BiBi-Linux – Üzemmód

A bibi-linux.out nevű x64 ELF végrehajtható fájlként azonosított hasznos adat lehetővé teszi a támadók számára, hogy a parancssori paraméterek segítségével kiválasszák, mely mappákat titkosítsák. Ha root jogosultságokkal fut, és nincs megadva konkrét célútvonal, akkor a teljes „/” gyökérkönyvtár törlésével teljesen törölheti a feltört eszköz operációs rendszerét.

A BiBi-Linux több szálat és egy sorrendszert alkalmaz a sebesség és a hatékonyság növelése érdekében. Felülírja a fájlok tartalmát, használhatatlanná teszi azokat, és hozzáfűz egy váltságdíjszerű nevet és egy kiterjesztést, amely tartalmazza a „BiBi” kifejezést (a becenév Izrael miniszterelnökéhez, Benjámin Netanjahuhoz kapcsolódik), majd egy számot.

A hozzáfűzött szám azt jelzi, hogy egy fájlt hányszor töröltek, ahogy azt a BleepingComputer megfigyelte. Nevezetesen, a Security Joes által felfedezett rosszindulatú programminta nem tartalmaz semmilyen homályosítást, csomagolást vagy egyéb védelmi intézkedéseket, ami leegyszerűsíti a rosszindulatú programok elemzőinek munkáját.

Ez azt sugallja, hogy a fenyegetés szereplői nem aggódnak túlzottan az eszközeik észlelése és boncolása miatt; ehelyett a támadásaik hatásának maximalizálására koncentrálnak.

Az orosz fenyegetőző csoportok is széles körben használtak pusztító kártevőket az ukrán szervezetek megcélzására, különösen azután, hogy Oroszország 2022 februárjában megtámadta Ukrajnát. Az ilyen támadásokhoz használt figyelemre méltó ablaktörlő kártevők közé tartozik a DoubleZero, a HermeticWiper, az IsaacWiper, a WhisperKill, a WhisperGate, a CaddyWiper és az AcidRain.

Januárban például az orosz Sandworm katonai hackerek öt különböző adattörlő malware törzset használtak az ukrán nemzeti hírügynökség (Ukrinform) hálózatán.