BiBi-Linux Wiper-malware gebruikt tegen Israëlische doelen

Een nieuw ontdekte malware genaamd BiBi-Linux wordt gebruikt bij aanvallen gericht op Linux-systemen die eigendom zijn van Israëlische bedrijven, met de bedoeling gegevens te wissen.

Het Incident Response-team van Security Joes ontdekte deze kwaadaardige lading tijdens het onderzoeken van een inbreuk op de beveiliging binnen het netwerk van een Israëlische organisatie. Momenteel herkennen slechts twee malware-scanengines van beveiligingsleveranciers BiBi-Linux als een bedreiging, zo meldt VirusTotal.

Deze malware onderscheidt zich door geen losgeldbriefje achter te laten of enige andere manier waarop de slachtoffers contact kunnen opnemen met de aanvallers voor losgeldonderhandelingen, ook al doet de malware alsof hij bestanden versleutelt.

In de woorden van onderzoekers van Security Joes: "Deze nieuwe dreiging brengt geen communicatie tot stand met externe Command & Control (C2)-servers voor gegevensexfiltratie, maakt geen gebruik van omkeerbare versleutelingsalgoritmen of gebruikt geen losgeldbriefjes om slachtoffers onder druk te zetten om betalingen te doen." In plaats daarvan corrumpeert het bestanden door ze te overschrijven met nutteloze gegevens, waardoor zowel de gegevens als het besturingssysteem worden beschadigd.

BiBi-Linux - Werkingsmodus

De payload, geïdentificeerd als een x64 ELF-uitvoerbaar bestand met de naam bibi-linux.out, stelt de aanvallers in staat om te selecteren welke mappen moeten worden gecodeerd met behulp van opdrachtregelparameters. Als het wordt uitgevoerd met root-privileges en er is geen specifiek doelpad opgegeven, kan het het besturingssysteem van een gecompromitteerd apparaat volledig vernietigen door te proberen de volledige '/'-hoofdmap te verwijderen.

BiBi-Linux maakt gebruik van meerdere threads en een wachtrijsysteem om de snelheid en effectiviteit te verbeteren. Het overschrijft de bestandsinhoud, waardoor deze onbruikbaar wordt, en voegt een losgeldachtige naam toe en een extensie met de term 'BiBi' (een bijnaam geassocieerd met de Israëlische premier Benjamin Netanyahu), gevolgd door een nummer.

Het toegevoegde getal geeft het aantal keren aan dat een bestand is gewist, zoals waargenomen door BleepingComputer. Opvallend is dat het door Security Joes ontdekte malwaremonster geen enkele verduistering, verpakking of andere beschermende maatregelen bevat, wat het werk van malware-analisten vereenvoudigt.

Dit suggereert dat de dreigingsactoren zich niet al te veel zorgen maken over het feit dat hun instrumenten worden opgespoord en ontleed; in plaats daarvan concentreren ze zich op het maximaliseren van de impact van hun aanvallen.

Destructieve malware is ook op grote schaal gebruikt door Russische dreigingsgroepen om Oekraïense organisaties aan te vallen, vooral na de Russische invasie van Oekraïne in februari 2022. Bekende wiper-malware die voor dergelijke aanvallen wordt gebruikt, zijn onder meer DoubleZero, HermeticWiper, IsaacWiper, WhisperKill, WhisperGate, CaddyWiper en AcidRain.

In januari gebruikten Russische militaire hackers van Sandworm bijvoorbeeld vijf verschillende soorten malware die gegevens wissen op het netwerk van het Oekraïense nationale persbureau (Ukrinform).