BiBi-Linux Wiper Malware som används mot israeliska mål
En nyupptäckt skadlig programvara som heter BiBi-Linux används i attacker riktade mot Linux-system som ägs av israeliska företag, med avsikten att radera data.
Incident Response-teamet på Security Joes upptäckte denna skadliga nyttolast medan de undersökte ett säkerhetsbrott inom en israelisk organisations nätverk. För närvarande är det bara två säkerhetsleverantörers skanningsmotorer för skadlig programvara som känner igen BiBi-Linux som ett hot, vilket rapporterats av VirusTotal.
Denna skadliga programvara utmärker sig genom att inte lämna en lösennota eller något sätt för offren att kontakta angriparna för lösenförhandlingar, även om den låtsas kryptera filer.
Med ord från forskare med Security Joes, "Detta nya hot etablerar inte kommunikation med fjärrstyrda Command & Control-servrar (C2) för dataexfiltrering, använder inte reversibla krypteringsalgoritmer eller använder lösensedlar för att pressa offer att göra betalningar." Istället korrumperar det filer genom att skriva över dem med värdelös data, vilket skadar både data och operativsystem.
BiBi-Linux - Driftläge
Nyttolasten, identifierad som en x64 ELF-körbar med namnet bibi-linux.out, låter angriparna välja vilka mappar som ska krypteras med hjälp av kommandoradsparametrar. Om den körs med rotbehörighet och ingen specifik målsökväg tillhandahålls, kan den helt radera operativsystemet för en komprometterad enhet genom att försöka ta bort hela rotkatalogen '/'.
BiBi-Linux använder flera trådar och ett kösystem för att öka hastigheten och effektiviteten. Den skriver över filinnehållet, gör det oanvändbart, och lägger till ett lösensumma-liknande namn och ett tillägg som innehåller termen 'BiBi' (ett smeknamn förknippat med Israels premiärminister, Benjamin Netanyahu) följt av ett nummer.
Det bifogade siffran anger antalet gånger en fil har raderats, som observerats av BleepingComputer. Noterbart är att provet av skadlig programvara som upptäckts av Security Joes saknar förvirring, packning eller andra skyddsåtgärder, vilket förenklar arbetet för skadligvareanalytiker.
Detta tyder på att hotaktörerna inte är alltför bekymrade över att deras verktyg upptäcks och dissekeras; istället fokuserar de på att maximera effekten av sina attacker.
Destruktiv skadlig programvara har också använts i stor utsträckning av ryska hotgrupper för att rikta in sig på ukrainska organisationer, särskilt efter Rysslands invasion av Ukraina i februari 2022. Anmärkningsvärda torkarprogram som används för sådana attacker inkluderar DoubleZero, HermeticWiper, IsaacWiper, WhisperKill, WhisperGate, CaddyWiper och AcidRain.
Till exempel, i januari, använde ryska Sandworm militära hackare fem olika skadliga skadliga stammar på nätverket av Ukrainas nationella nyhetsbyrå (Ukrinform).
