Malware BiBi-Windows Wiper usado contra Israel

Pesquisadores de segurança emitiram um alerta sobre uma versão para Windows de um malware de limpeza que anteriormente tinha como alvo sistemas Linux em ataques cibernéticos contra Israel.

Chamado de BiBi-Windows Wiper pela BlackBerry, esta contraparte do BiBi-Linux Wiper para Windows, utilizada por um grupo hacktivista pró-Hamas após a guerra Israel-Hamas, sugere um desenvolvimento contínuo do malware pelos atores da ameaça. Esta variante do Windows significa uma expansão do ataque para abranger máquinas de usuários finais e servidores de aplicativos. A empresa canadense divulgou esta informação na sexta-feira.

Uma empresa eslovaca de segurança cibernética, rastreando o ator por trás do limpador como BiBiGun, identificou a variante do Windows (bibi.exe) como projetada para substituir recursivamente dados no diretório C:\Users por dados inúteis, anexando .BiBi ao nome do arquivo. Compilado em 21 de outubro de 2023, duas semanas após o início da guerra, o método de distribuição permanece desconhecido no momento.

O BiBi-Windows Wiper corrompe todos os arquivos, exceto aqueles com extensões .exe, .dll e .sys. Além disso, ele exclui cópias de sombra do sistema, impedindo que as vítimas recuperem os arquivos. Semelhante ao seu equivalente Linux, a variante Windows demonstra capacidade multithreading. A implantação do artefato em ataques do mundo real e seus alvos específicos permanecem obscuros no momento.

Qual a diferença entre o malware Wiper e o ransomware?

O malware Wiper e o ransomware são tipos de software malicioso projetados para causar danos aos sistemas de computador, mas diferem em seus objetivos e funcionalidades principais:

Objetivo:

• Malware Wiper: O principal objetivo do malware Wiper é destruir ou eliminar dados em um sistema alvo. Seu objetivo é causar perturbações, danos ou sabotagem, em vez de extorquir dinheiro.
• Ransomware: O ransomware, por outro lado, visa criptografar arquivos no sistema da vítima e, em seguida, exige um resgate (geralmente em criptomoeda) da vítima em troca da chave de descriptografia. O principal motivo é o ganho financeiro.

Tratamento de dados:

• Malware Wiper: O malware Wiper destrói ou corrompe irreversivelmente os dados, tornando-os inacessíveis e muitas vezes tornando o sistema inoperante.
• Ransomware: O ransomware criptografa os dados, tornando-os inacessíveis, mas os dados podem ser potencialmente restaurados se a vítima pagar o resgate e obter a chave de descriptografia.

Comunicação com as vítimas:

• Malware Wiper: O malware Wiper normalmente não se comunica com a vítima. Uma vez ativado, ele realiza suas ações destrutivas sem qualquer negociação ou exigência.
• Ransomware: O ransomware se comunica com a vítima, exibindo notas de resgate que fornecem instruções sobre como pagar o resgate e receber a chave de descriptografia.

Recuperação:

• Malware Wiper: A recuperação de ataques de malware Wiper pode ser desafiadora ou até mesmo impossível, pois os dados são permanentemente danificados ou destruídos.
• Ransomware: embora não seja recomendado pagar o resgate, algumas vítimas optam por pagar para obter a chave de descriptografia, potencialmente restaurando seus arquivos. No entanto, isto não garante a recuperação de todos os dados e pode encorajar novas atividades criminosas.