Вредоносная программа BiBi-Linux Wiper используется против израильских целей

Недавно обнаруженное вредоносное ПО под названием BiBi-Linux используется для атак, направленных на системы Linux, принадлежащие израильским компаниям, с целью стереть данные.

Группа реагирования на инциденты Security Joes обнаружила эту вредоносную полезную нагрузку при расследовании нарушения безопасности в сети израильской организации. На данный момент, как сообщает VirusTotal, только два механизма сканирования вредоносных программ распознают BiBi-Linux как угрозу.

Эта вредоносная программа отличается тем, что не оставляет записки о выкупе или каких-либо средств, позволяющих жертвам связаться с злоумышленниками для переговоров о выкупе, хотя она и делает вид, что шифрует файлы.

По словам исследователей из Security Joes, «эта новая угроза не устанавливает связь с удаленными серверами управления и контроля (C2) для кражи данных, не использует алгоритмы обратимого шифрования или не использует заметки о выкупе, чтобы заставить жертв произвести платежи». Вместо этого он повреждает файлы, перезаписывая их бесполезными данными, нанося вред как данным, так и операционной системе.

БиБи-Линукс — Режим работы

Полезная нагрузка, идентифицированная как исполняемый файл x64 ELF с именем bibi-linux.out, позволяет злоумышленникам выбирать, какие папки шифровать, используя параметры командной строки. Если запустить его с привилегиями root и не указать конкретный целевой путь, он может полностью уничтожить операционную систему скомпрометированного устройства, попытавшись удалить весь корневой каталог «/».

BiBi-Linux использует несколько потоков и систему очередей для повышения скорости и эффективности. Он перезаписывает содержимое файлов, делая их непригодными для использования, и добавляет имя, похожее на выкуп, и расширение, содержащее термин «БиБи» (прозвище, связанное с премьер-министром Израиля Биньямином Нетаньяху), за которым следует номер.

Добавленное число означает, сколько раз файл был удален, по данным BleepingComputer. Примечательно, что образец вредоносного ПО, обнаруженный Security Joes, не имеет каких-либо обфускаций, упаковки или других защитных мер, что упрощает работу аналитиков вредоносного ПО.

Это говорит о том, что злоумышленники не слишком обеспокоены тем, что их инструменты будут обнаружены и изучены; вместо этого они сосредотачиваются на максимизации воздействия своих атак.

Деструктивное вредоносное ПО также широко использовалось российскими группами угроз для нападения на украинские организации, особенно после вторжения России в Украину в феврале 2022 года. Известные вредоносные программы-вайперы, используемые для таких атак, включают DoubleZero, HermeticWiper, IsaacWiper, WhisperKill, WhisperGate, CaddyWiper и AcidRain.

Например, в январе российские военные хакеры Sandworm использовали пять различных штаммов вредоносного ПО для уничтожения данных в сети национального информационного агентства Украины (Укринформ).