Malware Wiper BiBi-Linux utilizzato contro obiettivi israeliani

Un malware recentemente scoperto chiamato BiBi-Linux viene impiegato in attacchi mirati ai sistemi Linux di proprietà di aziende israeliane, con l'intento di cancellare dati.

Il team di Incident Response di Security Joes ha scoperto questo carico dannoso mentre indagava su una violazione della sicurezza all'interno della rete di un'organizzazione israeliana. Al momento, solo i motori di scansione malware di due fornitori di sicurezza riconoscono BiBi-Linux come una minaccia, come riportato da VirusTotal.

Questo malware si distingue per non lasciare una richiesta di riscatto o alcun mezzo con cui le vittime possano contattare gli aggressori per negoziare il riscatto, anche se finge di crittografare i file.

Nelle parole dei ricercatori di Security Joes, "Questa nuova minaccia non stabilisce comunicazioni con server remoti di Command & Control (C2) per l'esfiltrazione di dati, non utilizza algoritmi di crittografia reversibili o impiega note di riscatto per spingere le vittime a effettuare pagamenti". Invece, corrompe i file sovrascrivendoli con dati inutili, causando danni sia ai dati che al sistema operativo.

BiBi-Linux - Modalità di funzionamento

Il payload, identificato come un eseguibile ELF x64 denominato bibi-linux.out, consente agli aggressori di selezionare quali cartelle crittografare utilizzando i parametri della riga di comando. Se eseguito con privilegi di root e senza un percorso di destinazione specifico fornito, può cancellare completamente il sistema operativo di un dispositivo compromesso tentando di eliminare l'intera directory root '/'.

BiBi-Linux utilizza thread multipli e un sistema di code per migliorare la velocità e l'efficacia. Sovrascrive il contenuto dei file, rendendoli inutilizzabili, e aggiunge un nome simile a un riscatto e un'estensione contenente il termine "BiBi" (un soprannome associato al primo ministro israeliano, Benjamin Netanyahu) seguito da un numero.

Il numero aggiunto indica il numero di volte in cui un file è stato cancellato, come osservato da BleepingComputer. In particolare, il campione di malware scoperto da Security Joes è privo di offuscamento, compressione o altre misure protettive, semplificando il lavoro degli analisti di malware.

Ciò suggerisce che gli autori delle minacce non sono eccessivamente preoccupati che i loro strumenti vengano rilevati e analizzati; si concentrano invece sulla massimizzazione dell'impatto dei loro attacchi.

Il malware distruttivo è stato ampiamente utilizzato anche da gruppi di minacce russi per prendere di mira le organizzazioni ucraine, in particolare dopo l'invasione russa dell'Ucraina nel febbraio 2022. Notevoli malware wiper utilizzati per tali attacchi includono DoubleZero, HermeticWiper, IsaacWiper, WhisperKill, WhisperGate, CaddyWiper e AcidRain.

Ad esempio, a gennaio, gli hacker militari russi Sandworm hanno utilizzato cinque diversi ceppi di malware per la cancellazione dei dati sulla rete dell'agenzia di stampa nazionale ucraina (Ukrinform).