BiBi-Linux Wiper Malware brukt mot israelske mål

En nyoppdaget skadelig programvare kalt BiBi-Linux blir brukt i angrep rettet mot Linux-systemer som eies av israelske selskaper, med den hensikt å slette data.

Incident Response-teamet hos Security Joes avdekket denne ondsinnede nyttelasten mens de undersøkte et sikkerhetsbrudd i en israelsk organisasjons nettverk. Per nå er det bare to sikkerhetsleverandørers skanningsmotorer for skadelig programvare som gjenkjenner BiBi-Linux som en trussel, som rapportert av VirusTotal.

Denne skadelige programvaren utmerker seg ved ikke å etterlate en løsepengenota eller noen måte for ofre å kontakte angriperne for løsepengeforhandlinger, selv om den later til å kryptere filer.

Med ordene til forskere med Security Joes, "Denne nye trusselen etablerer ikke kommunikasjon med eksterne Command & Control (C2)-servere for dataeksfiltrering, bruker reversible krypteringsalgoritmer eller bruker løsepenger for å presse ofre til å foreta betalinger." I stedet korrumperer den filer ved å overskrive dem med ubrukelige data, noe som forårsaker skade på både dataene og operativsystemet.

BiBi-Linux - Driftsmodus

Nyttelasten, identifisert som en x64 ELF-kjørbar med navnet bibi-linux.out, lar angriperne velge hvilke mapper som skal krypteres ved hjelp av kommandolinjeparametere. Hvis den kjøres med rotrettigheter og ingen spesifikk målbane oppgitt, kan den fullstendig utslette operativsystemet til en kompromittert enhet ved å forsøke å slette hele '/' rotkatalogen.

BiBi-Linux bruker flere tråder og et køsystem for å øke hastigheten og effektiviteten. Den overskriver filinnholdet, gjør det ubrukelig, og legger til et løsepengerlignende navn og en utvidelse som inneholder begrepet 'BiBi' (et kallenavn assosiert med Israels statsminister, Benjamin Netanyahu) etterfulgt av et tall.

Det vedlagte tallet angir antall ganger en fil har blitt slettet, som observert av BleepingComputer. Spesielt mangler skadevareprøven oppdaget av Security Joes noen form for tilsløring, pakking eller andre beskyttelsestiltak, noe som forenkler arbeidet til skadevareanalytikere.

Dette tyder på at trusselaktørene ikke er altfor bekymret for at verktøyene deres blir oppdaget og dissekert; i stedet fokuserer de på å maksimere effekten av angrepene deres.

Destruktiv skadelig programvare har også blitt mye brukt av russiske trusselgrupper for å målrette ukrainske organisasjoner, spesielt etter Russlands invasjon av Ukraina i februar 2022. Bemerkelsesverdig wiper-malware som brukes for slike angrep inkluderer DoubleZero, HermeticWiper, IsaacWiper, WhisperKill, WhisperGate, CaddyWiper og AcidRain.

For eksempel, i januar, brukte russiske Sandworm-militærhackere fem forskjellige dataslette-malware-stammer på nettverket til Ukrainas nasjonale nyhetsbyrå (Ukrinform).