„BiBi-Linux“ valytuvų kenkėjiška programa, naudojama prieš Izraelio taikinius

Naujai atrasta kenkėjiška programa, vadinama BiBi-Linux, naudojama atakoms, nukreiptoms prieš Izraelio įmonėms priklausančias Linux sistemas, siekiant ištrinti duomenis.

„Security Joes“ reagavimo į incidentus komanda atskleidė šį kenkėjišką krovinį, tirdama saugumo pažeidimą Izraelio organizacijos tinkle. Kaip pranešė „VirusTotal“, šiuo metu tik du saugumo pardavėjų kenkėjiškų programų nuskaitymo varikliai atpažįsta „BiBi-Linux“ kaip grėsmę.

Ši kenkėjiška programa išsiskiria tuo, kad nepalieka išpirkos raštelio ar jokių priemonių aukoms susisiekti su užpuolikais deryboms dėl išpirkos, nors apsimeta, kad šifruoja failus.

„Security Joes“ tyrėjų žodžiais tariant, „ši nauja grėsmė neužmezga ryšio su nuotoliniais komandų ir valdymo (C2) serveriais duomenų išfiltravimui, nenaudoja grįžtamųjų šifravimo algoritmų arba nenaudoja išpirkos lakštų, kad priverstų aukas atlikti mokėjimus“. Vietoj to, jis sugadina failus, perrašydamas juos nenaudingais duomenimis, taip pakenkdamas duomenims ir operacinei sistemai.

BiBi-Linux – veikimo režimas

Naudingoji apkrova, identifikuojama kaip x64 ELF vykdomasis failas, pavadintas bibi-linux.out, leidžia užpuolikams pasirinkti, kuriuos aplankus šifruoti naudojant komandinės eilutės parametrus. Jei paleista su root teisėmis ir nenurodytas konkretus tikslinis kelias, jis gali visiškai ištrinti pažeisto įrenginio operacinę sistemą bandydamas ištrinti visą šakninį katalogą „/“.

„BiBi-Linux“ naudoja kelias gijas ir eilių sistemą, kad padidintų greitį ir efektyvumą. Jis perrašo failo turinį, padarydamas jį netinkamu naudoti, ir prideda į išpirką panašų pavadinimą bei plėtinį, kuriame yra terminas „BiBi“ (slapyvardis, susijęs su Izraelio ministru pirmininku Benjaminu Netanyahu), po kurio yra skaičius.

Pridėtas skaičius reiškia, kiek kartų failas buvo išvalytas, kaip pastebėjo „BleepingComputer“. Pažymėtina, kad „Security Joes“ aptiktame kenkėjiškų programų pavyzdyje nėra jokių užmaskavimo, pakavimo ar kitų apsaugos priemonių, kurios supaprastina kenkėjiškų programų analitikų darbą.

Tai rodo, kad grėsmės veikėjai nėra pernelyg susirūpinę, kad jų įrankiai būtų aptikti ir išskaidomi; vietoj to jie sutelkia dėmesį į savo atakų poveikio padidinimą.

Rusijos grėsmių grupės taip pat plačiai naudojo destruktyvią kenkėjišką programinę įrangą, siekdamos nusitaikyti į Ukrainos organizacijas, ypač po Rusijos invazijos į Ukrainą 2022 m. vasario mėn. Tokioms atakoms naudojamos kenkėjiškos programos: DoubleZero, HermeticWiper, IsaacWiper, WhisperKill, WhisperGate, CaddyWiper ir AcidRain.

Pavyzdžiui, sausio mėnesį Rusijos „Sandworm“ kariniai įsilaužėliai Ukrainos nacionalinės naujienų agentūros (Ukrinform) tinkle panaudojo penkias skirtingas duomenis naikinančių kenkėjiškų programų padermes.