Malware BiBi-Linux Wiper usado contra alvos israelenses

Um malware recém-descoberto chamado BiBi-Linux está sendo empregado em ataques direcionados a sistemas Linux de propriedade de empresas israelenses, com a intenção de apagar dados.

A equipe de resposta a incidentes da Security Joes descobriu essa carga maliciosa enquanto investigava uma violação de segurança na rede de uma organização israelense. No momento, apenas dois mecanismos de verificação de malware de fornecedores de segurança reconhecem o BiBi-Linux como uma ameaça, conforme relatado pelo VirusTotal.

Este malware distingue-se por não deixar uma nota de resgate ou qualquer meio para as vítimas contactarem os atacantes para negociações de resgate, mesmo que finja encriptar ficheiros.

Nas palavras dos pesquisadores do Security Joes, “Esta nova ameaça não estabelece comunicação com servidores remotos de Comando e Controle (C2) para exfiltração de dados, não usa algoritmos de criptografia reversíveis ou emprega notas de resgate para pressionar as vítimas a fazerem pagamentos”. Em vez disso, ele corrompe os arquivos, substituindo-os por dados inúteis, causando danos aos dados e ao sistema operacional.

BiBi-Linux - Modo de Operação

A carga útil, identificada como um executável ELF x64 chamado bibi-linux.out, permite que os invasores selecionem quais pastas criptografar usando parâmetros de linha de comando. Se executado com privilégios de root e nenhum caminho de destino específico fornecido, ele pode destruir completamente o sistema operacional de um dispositivo comprometido ao tentar excluir todo o diretório raiz '/'.

BiBi-Linux emprega vários threads e um sistema de fila para aumentar a velocidade e a eficácia. Ele substitui o conteúdo do arquivo, tornando-o inutilizável, e anexa um nome semelhante ao resgate e uma extensão contendo o termo 'BiBi' (um apelido associado ao primeiro-ministro de Israel, Benjamin Netanyahu) seguido por um número.

O número anexado significa o número de vezes que um arquivo foi apagado, conforme observado pelo BleepingComputer. Notavelmente, a amostra de malware descoberta pelo Security Joes não possui qualquer ofuscação, embalagem ou outras medidas de proteção, simplificando o trabalho dos analistas de malware.

Isso sugere que os atores da ameaça não estão excessivamente preocupados com a detecção e dissecação de suas ferramentas; em vez disso, concentram-se em maximizar o impacto dos seus ataques.

O malware destrutivo também tem sido amplamente usado por grupos de ameaças russos para atingir organizações ucranianas, especialmente após a invasão da Ucrânia pela Rússia em fevereiro de 2022. O malware limpador notável empregado para tais ataques inclui DoubleZero, HermeticWiper, IsaacWiper, WhisperKill, WhisperGate, CaddyWiper e AcidRain.

Por exemplo, em Janeiro, os hackers militares russos Sandworm utilizaram cinco tipos diferentes de malware para limpeza de dados na rede da agência nacional de notícias da Ucrânia (Ukrinform).