BiBi-Windows Wiper-malware gebruikt tegen Israël

Beveiligingsonderzoekers hebben een waarschuwing afgegeven met betrekking tot een Windows-versie van een wiper-malware die zich eerder op Linux-systemen had gericht bij cyberaanvallen tegen Israël.

Deze Windows-tegenhanger van BiBi-Linux Wiper, door BlackBerry BiBi-Windows Wiper genoemd, en na de oorlog tussen Israël en Hamas door een pro-Hamas hacktivistische groep gebruikt, suggereert een voortdurende ontwikkeling van de malware door de bedreigingsactoren. Deze Windows-variant betekent een uitbreiding van de aanval naar machines van eindgebruikers en applicatieservers. Het Canadese bedrijf maakte deze informatie vrijdag bekend.

Een Slowaaks cyberbeveiligingsbedrijf, dat de acteur achter de wisser als BiBiGun volgde, identificeerde de Windows-variant (bibi.exe) als ontworpen om gegevens in de map C:\Users recursief te overschrijven met ongewenste gegevens, waarbij .BiBi aan de bestandsnaam werd toegevoegd. De distributiemethode, samengesteld op 21 oktober 2023, twee weken na het begin van de oorlog, is nog steeds onbekend.

De BiBi-Windows Wiper corrumpeert alle bestanden, behalve bestanden met de extensies .exe, .dll en .sys. Bovendien worden schaduwkopieën van het systeem verwijderd, waardoor slachtoffers geen bestanden kunnen herstellen. Net als zijn Linux-tegenhanger demonstreert de Windows-variant multithreading-mogelijkheden. De inzet van het artefact bij aanvallen in de echte wereld en de specifieke doelen ervan blijven op dit moment onduidelijk.

Waarin verschilt Wiper Malware van Ransomware?

Wiper-malware en ransomware zijn beide soorten kwaadaardige software die zijn ontworpen om schade aan computersystemen te veroorzaken, maar ze verschillen in hun primaire doelstellingen en functionaliteiten:

Objectief:

• Wiper Malware: Het belangrijkste doel van wiper malware is het vernietigen of wissen van gegevens op een gericht systeem. Het doel ervan is om verstoring, schade of sabotage te veroorzaken in plaats van geld af te persen.
• Ransomware: Ransomware heeft daarentegen tot doel bestanden op het systeem van een slachtoffer te versleutelen en vraagt vervolgens losgeld (meestal in cryptocurrency) van het slachtoffer in ruil voor de decoderingssleutel. Het voornaamste motief is financieel gewin.

Gegevensverwerking:

• Wiper Malware: Wiper-malware vernietigt of corrumpeert gegevens onomkeerbaar, waardoor deze ontoegankelijk worden en het systeem vaak onbruikbaar wordt.
• Ransomware: Ransomware codeert gegevens, waardoor deze ontoegankelijk worden, maar de gegevens kunnen mogelijk worden hersteld als het slachtoffer het losgeld betaalt en de decoderingssleutel verkrijgt.

Communicatie met slachtoffers:

• Wiper-malware: Wiper-malware communiceert doorgaans niet met het slachtoffer. Eenmaal geactiveerd voert het zijn destructieve acties uit zonder enige onderhandeling of eisen.
• Ransomware: Ransomware communiceert met het slachtoffer en geeft losgeldbriefjes weer met instructies over hoe het losgeld moet worden betaald en hoe de decoderingssleutel moet worden ontvangen.

Herstel:

• Wiper Malware: Herstel van wiper-malware-aanvallen kan een uitdaging of zelfs onmogelijk zijn, omdat de gegevens permanent beschadigd of vernietigd zijn.
• Ransomware: Hoewel het betalen van losgeld niet wordt aanbevolen, kiezen sommige slachtoffers ervoor om te betalen om de decoderingssleutel te verkrijgen, waarmee ze mogelijk hun bestanden kunnen herstellen. Dit garandeert echter niet het herstel van alle gegevens en kan verdere criminele activiteiten aanmoedigen.