Ένας νέος καθαριστής κακόβουλου λογισμικού γνωστός ως
BiBi-Linux
χρησιμοποιείται για την καταστροφή δεδομένων σε επιθέσεις που στοχεύουν συστήματα Linux που ανήκουν σε ισραηλινές εταιρείες.
Η ομάδα Αν
τι
μετώπισης Συμβάντων του Security Joes ανακάλυψε το κακόβουλο ωφέλιμο φορτίο ενώ διερεύνησε την παραβίαση του δικτύου μιας ισραηλινής οργάνωσης. Επί του παρόντος, μόνο δύο μηχανές σάρωσης κακόβουλου λογισμικού από προμηθευτές ασφαλείας
ανιχνεύουν
Το BiBi-Linux ως κακόβουλο, σύμφωνα με το VirusTotal.
Το κακόβουλο λογισμικό αποκαλύπτει την πραγματική του φύση με το να μην ρίχνει ένα σημείωμα λύτρων ή να παρέχει στα θύματα έναν τρόπο να επικοινωνήσουν με τους εισβολείς για να διαπραγματευτούν την πληρωμή για έναν αποκρυπτογραφητή, παρόλο που παραποιεί την κρυπτογράφηση αρχείων,
είπε
Joes ασφαλείας.
«Αντίθετα, προκαλεί καταστροφή αρχείων αντικαθιστώντας αρχεία με άχρηστα δεδομένα, καταστρέφοντας τόσο τα δεδομένα όσο και το λειτουργικό σύστημα».
Το ωφέλιμο φορτίο (ένα εκτελέσιμο αρχείο x64 ELF με το όνομα bibi-linux.out) που βρίσκεται στα συστήματα του θύματος επιτρέπει στους εισβολείς να επιλέξουν ποιους φακέλους θα κρυπτογραφήσουν μέσω των παραμέτρων της γραμμής εντολών.
Μπορεί να σβήσει εντελώς το λειτουργικό σύστημα μιας παραβιασμένης
συσκευή
ς όταν εκτελείται με δικαιώματα root, εάν οι εισβολείς δεν παρέχουν μια διαδρομή στόχο, καθώς θα προσπαθήσει να διαγράψει ολόκληρο τον ριζικό κατάλογο ‘/’.
Αρχεία κρυπτογράφησης υαλοκαθαριστήρων BiBi-Linux (BleepingComputer)
Το BiBi-Linux χρησιμοποιεί πολλαπλά νήματα και σύστημα ουράς για βελτιωμένη ταχύτητα και αποτελεσματικότητα. Θα αντικαταστήσει το περιεχόμενο των αρχείων για να τα καταστρέψει, μετονομάζοντάς τα χρησιμοποιώντας ένα όνομα λύτρων και μια επέκταση από τη συμβολοσειρά «BiBi» (Bibi είναι ένα ψευδώνυμο που χρησιμοποιείται για τον πρωθυπουργό του Ισραήλ, Benjamin Netanyahu) ακολουθούμενο από έναν αριθμό.
Όπως φαίνεται από το BleepingComputer, ο αριθμός που προσαρτάται στην επέκταση είναι ο αριθμός των γύρων που έχει διαγραφεί ένα αρχείο.
Το δείγμα υαλοκαθαριστήρα που ανακαλύφθηκε από την Security Joes δεν διαθέτει επίσης καμία συσκότιση, συσκευασία ή άλλα προστατευτικά μέτρα, καθιστώντας τις εργασίες των αναλυτών κακόβουλου λογισμικού πολύ πιο εύκολες.
Αυτό δείχνει ότι οι φορείς απειλών δεν ανησυχούν για τη σύλληψη και την ανατομή των εργαλείων τους, αλλά επικεντρώνονται στη μεγιστοποίηση του αντίκτυπου της επίθεσής τους.
Το καταστροφικό κακόβουλο λογισμικό έχει επίσης χρησιμοποιηθεί εκτενώς από ρωσικές ομάδες απειλών για να στοχεύσει συστήματα ουκρανικών οργανισμών από τότε που η Ρωσία εισέβαλε στην Ουκρανία τον Φεβρουάριο του
2022
.
Η λίστα των κακόβουλων προγραμμάτων υαλοκαθαριστήρων που χρησιμοποιούνται για τη στόχευση της Ουκρανίας περιλαμβάνει παρόμοια
DoubleZero
HermeticWiper, IsaacWiper,
WhisperKill
WhisperGate, CaddyWiper και AcidRain.
Για παράδειγμα, Ρώσοι στρατιωτικοί χάκερ Sandworm ανέπτυξαν πέντε διαφορετικά στελέχη κακόβουλου λογισμικού που σκουπίζουν δεδομένα στο δίκτυο του εθνικού πρακτορείου ειδήσεων της χώρας (Ukrinform) τον Ιανουάριο.
VIA:
bleepingcomputer.com