Um novo malware chamado de BiBi-Linux tem como alvo organizações israelenses em ataques destrutivos. Ele está sendo usado para destruir dados em ataques direcionados a sistemas Linux pertencentes a empresas israelenses.
A equipe de resposta a incidentes do Security Joes descobriu a carga maliciosa enquanto investigava a violação da rede de uma organização israelense. Atualmente, apenas dois mecanismos de verificação de malware de fornecedores de segurança detectam o BiBi-Linux como malicioso, de acordo com o VirusTotal.
O malware revela sua verdadeira natureza ao não fornecer uma nota de resgate ou fornecer às vítimas uma maneira de entrar em contato com os invasores para negociar o pagamento de um descriptografador, mesmo que ele falsifique a criptografia de arquivos.
Malware BiBi-Linux atinge organizações israelenses
“Esta nova ameaça não estabelece comunicação com servidores remotos de Comando e Controle (C2) para exfiltração de dados, emprega algoritmos de criptografia reversíveis ou deixa notas de resgate como meio de coagir as vítimas a fazer pagamentos”, disse Security Joes.
“Em vez disso, ele corrompe arquivos ao sobrescrever arquivos com dados inúteis, danificando os dados e o sistema operacional”.
A carga útil (um executável ELF x64 chamado bibi-linux.out) encontrada nos sistemas da vítima permite que os invasores escolham quais pastas criptografar por meio de parâmetros de linha de comando.
Ele pode limpar completamente o sistema operacional de um dispositivo comprometido quando executado com privilégios de root se os invasores não fornecerem um caminho de destino, pois tentará excluir todo o diretório raiz ‘/’.
Notícias Relacionadas
Malware GitHub
Campanha inteligente abusa de repositórios GitHub para enviar malware
Uma nova campanha de ameaças inteligente abusa de repositórios do GitHub para distribuir o malware de roubo de senhas chamado Lumma Stealer. A campanha visa usuários que frequentam um repositório de projeto de código aberto ou que estão inscritos para receber notificações por e-mail dele. Malware Lumma Stealer sendo distribuído via repositórios GitHub Um usuário […]
Desenvolvedores Python
Desenvolvedores Python estão sendo hackeados via teste de codificação de gerenciador de senhas falso
Membros Lazarus Group estão se passando por recrutadores, hackeando desenvolvedores Python com projetos de teste de codificação para produtos de gerenciamento de senhas que incluem malware. Desenvolvedores Python hackeados Os ataques de malwares fazem parte da ‘campanha VMConnect’ detectada pela primeira vez em agosto de 2023 (Via: Bleeping Computer), onde os cibercriminosos visavam desenvolvedores de […]
BiBi-Linux usa vários threads e um sistema de filas para maior velocidade e eficácia. Ele sobrescreverá o conteúdo dos arquivos para destruí-los, renomeando-os usando um nome de resgate e uma extensão feita da string ‘BiBi’ (Bibi é um apelido usado para o primeiro-ministro de Israel, Benjamin Netanyahu) seguido por um número.
O número anexado à extensão é o número de rodadas que um arquivo foi apagado.
A amostra de limpeza descoberta pelo Security Joes também não apresenta ofuscação, embalagem ou outras medidas de proteção, facilitando muito o trabalho dos analistas de malware.
Isso mostra que os atores da ameaça não estão preocupados com a captura e dissecação de suas ferramentas, concentrando-se, em vez disso, em maximizar o impacto do ataque.
O malware destrutivo também tem sido amplamente utilizado por grupos de ameaças russos para atingir os sistemas de organizações ucranianas desde que a Rússia invadiu a Ucrânia em fevereiro de 2022.
A lista de malwares de limpeza usados ??para atingir a Ucrânia inclui nomes como DoubleZero, HermeticWiper, IsaacWiper, WhisperKill, WhisperGate, CaddyWiper e AcidRain.
Por exemplo, os hackers militares russos Sandworm implantaram cinco tipos diferentes de malware para limpeza de dados na rede da agência nacional de notícias do país (Ukrinform) em janeiro.
