Złośliwe oprogramowanie Wiper BiBi-Linux wykorzystywane przeciwko izraelskim celom
Nowo odkryte szkodliwe oprogramowanie o nazwie BiBi-Linux jest wykorzystywane w atakach wymierzonych w systemy Linux należące do izraelskich firm i mających na celu usunięcie danych.
Zespół reagowania na incydenty w firmie Security Joes odkrył ten szkodliwy ładunek podczas badania naruszenia bezpieczeństwa w sieci izraelskiej organizacji. Jak podaje VirusTotal, obecnie tylko dwa silniki skanujące złośliwe oprogramowanie oferowane przez dostawców zabezpieczeń rozpoznają BiBi-Linux jako zagrożenie.
Szkodnik ten wyróżnia się tym, że nie pozostawia żadnej notatki z żądaniem okupu ani żadnych możliwości skontaktowania się ofiar z atakującymi w celu negocjacji w sprawie okupu, mimo że udaje, że szyfruje pliki.
Według badaczy z Security Joes: „To nowe zagrożenie nie nawiązuje komunikacji ze zdalnymi serwerami dowodzenia i kontroli (C2) w celu wydobywania danych, nie wykorzystuje odwracalnych algorytmów szyfrowania ani nie wykorzystuje notatek z żądaniem okupu, aby nakłonić ofiary do dokonania płatności”. Zamiast tego uszkadza pliki, zastępując je bezużytecznymi danymi, powodując szkody zarówno dla danych, jak i systemu operacyjnego.
BiBi-Linux - Tryb działania
Ładunek, identyfikowany jako plik wykonywalny ELF x64 o nazwie bibi-linux.out, umożliwia atakującym wybranie folderów do zaszyfrowania przy użyciu parametrów wiersza poleceń. Jeśli zostanie uruchomiony z uprawnieniami roota i nie zostanie podana konkretna ścieżka docelowa, może całkowicie wyczyścić system operacyjny zaatakowanego urządzenia, próbując usunąć cały katalog główny „/”.
BiBi-Linux wykorzystuje wiele wątków i system kolejek, aby zwiększyć szybkość i efektywność. Zastępuje zawartość pliku, czyniąc go bezużytecznym, i dodaje nazwę przypominającą okup oraz rozszerzenie zawierające termin „BiBi” (pseudonim kojarzony z premierem Izraela Benjaminem Netanjahu), po którym następuje liczba.
Dołączona liczba oznacza, ile razy plik został wyczyszczony zgodnie z obserwacją BleepingComputer. Warto zauważyć, że próbka złośliwego oprogramowania odkryta przez Security Joes nie zawiera żadnych zaciemnień, pakowania ani innych środków ochronnych, co upraszcza pracę analityków złośliwego oprogramowania.
Sugeruje to, że ugrupowania zagrażające nie przejmują się zbytnio wykryciem i analizą ich narzędzi; zamiast tego skupiają się na maksymalizacji wpływu swoich ataków.
Destrukcyjne złośliwe oprogramowanie było również szeroko wykorzystywane przez rosyjskie grupy zagrożeń do atakowania organizacji ukraińskich, szczególnie po inwazji Rosji na Ukrainę w lutym 2022 r. Godne uwagi szkodliwe oprogramowanie wycierające wykorzystywane w takich atakach to DoubleZero, HermeticWiper, IsaacWiper, WhisperKill, WhisperGate, CaddyWiper i AcidRain.
Na przykład w styczniu rosyjscy hakerzy wojskowi Sandworm wykorzystali pięć różnych odmian szkodliwego oprogramowania do usuwania danych w sieci ukraińskiej krajowej agencji informacyjnej (Ukrinform).
