Malware BiBi-Windows Wiper utilizzato contro Israele

I ricercatori di sicurezza hanno emesso un avvertimento riguardante una versione Windows di un malware wiper che aveva precedentemente preso di mira i sistemi Linux in attacchi informatici contro Israele.

Denominata BiBi-Windows Wiper da BlackBerry, questa controparte Windows di BiBi-Linux Wiper, utilizzata da un gruppo di hacktivisti pro-Hamas dopo la guerra tra Israele e Hamas, suggerisce uno sviluppo continuo del malware da parte degli autori delle minacce. Questa variante di Windows rappresenta un'espansione dell'attacco per comprendere le macchine degli utenti finali e i server delle applicazioni. La società canadese ha diffuso queste informazioni venerdì.

Una società di sicurezza informatica slovacca, rintracciando l'autore del wiper come BiBiGun, ha identificato la variante di Windows (bibi.exe) come progettata per sovrascrivere ricorsivamente i dati nella directory C:\Users con dati spazzatura, aggiungendo .BiBi al nome del file. Compilato il 21 ottobre 2023, due settimane dopo l’inizio della guerra, il metodo di distribuzione rimane attualmente sconosciuto.

BiBi-Windows Wiper corrompe tutti i file, esclusi quelli con estensioni .exe, .dll e .sys. Inoltre, elimina le copie shadow dal sistema, impedendo alle vittime di recuperare i file. Similmente alla sua controparte Linux, la variante Windows dimostra capacità multithreading. Al momento, l'impiego dell'artefatto negli attacchi del mondo reale e i suoi obiettivi specifici rimangono poco chiari.

In che cosa il malware Wiper è diverso dal ransomware?

Il malware Wiper e il ransomware sono entrambi tipi di software dannoso progettati per causare danni ai sistemi informatici, ma differiscono nei loro obiettivi e funzionalità principali:

Obbiettivo:

• Malware wiper: l'obiettivo principale del malware wiper è distruggere o cancellare i dati su un sistema preso di mira. Il suo scopo è causare interruzioni, danni o sabotaggi piuttosto che estorcere denaro.
• Ransomware: il ransomware, invece, mira a crittografare i file sul sistema di una vittima e quindi richiede alla vittima un riscatto (solitamente in criptovaluta) in cambio della chiave di decrittazione. Il motivo principale è il guadagno finanziario.

Gestione dati:

• Malware Wiper: il malware Wiper distrugge o corrompe irreversibilmente i dati, rendendoli inaccessibili e spesso rendendo inutilizzabile il sistema.
• Ransomware: il ransomware crittografa i dati, rendendoli inaccessibili, ma i dati possono potenzialmente essere ripristinati se la vittima paga il riscatto e ottiene la chiave di decrittazione.

Comunicazione con le vittime:

• Malware Wiper: il malware Wiper in genere non comunica con la vittima. Una volta attivato, svolge le sue azioni distruttive senza alcuna negoziazione o richiesta.
• Ransomware: il ransomware comunica con la vittima, visualizzando note di riscatto che forniscono istruzioni su come pagare il riscatto e ricevere la chiave di decrittazione.

Recupero:

• Malware wiper: il ripristino dagli attacchi malware wiper può essere complicato o addirittura impossibile, poiché i dati vengono danneggiati o distrutti in modo permanente.
• Ransomware: anche se il pagamento del riscatto non è consigliabile, alcune vittime scelgono di pagare per ottenere la chiave di decrittazione, ripristinando potenzialmente i propri file. Tuttavia, ciò non garantisce il recupero di tutti i dati e potrebbe incoraggiare ulteriori attività criminali.