Malware BiBi-Linux atinge organizações israelenses

Malware BiBi-Linux atinge organizações israelenses

Um novo malware chamado de BiBi-Linux tem como alvo organizações israelenses em ataques destrutivos. Ele está sendo usado para destruir dados em ataques direcionados a sistemas Linux pertencentes a empresas israelenses.

A equipe de resposta a incidentes do Security Joes descobriu a carga maliciosa enquanto investigava a violação da rede de uma organização israelense. Atualmente, apenas dois mecanismos de verificação de malware de fornecedores de segurança detectam o BiBi-Linux como malicioso, de acordo com o VirusTotal.

O malware revela sua verdadeira natureza ao não fornecer uma nota de resgate ou fornecer às vítimas uma maneira de entrar em contato com os invasores para negociar o pagamento de um descriptografador, mesmo que ele falsifique a criptografia de arquivos.

Malware BiBi-Linux atinge organizações israelenses

“Esta nova ameaça não estabelece comunicação com servidores remotos de Comando e Controle (C2) para exfiltração de dados, emprega algoritmos de criptografia reversíveis ou deixa notas de resgate como meio de coagir as vítimas a fazer pagamentos”, disse Security Joes.

“Em vez disso, ele corrompe arquivos ao sobrescrever arquivos com dados inúteis, danificando os dados e o sistema operacional”.

A carga útil (um executável ELF x64 chamado bibi-linux.out) encontrada nos sistemas da vítima permite que os invasores escolham quais pastas criptografar por meio de parâmetros de linha de comando.

Ele pode limpar completamente o sistema operacional de um dispositivo comprometido quando executado com privilégios de root se os invasores não fornecerem um caminho de destino, pois tentará excluir todo o diretório raiz ‘/’.

BiBi-Linux usa vários threads e um sistema de filas para maior velocidade e eficácia. Ele sobrescreverá o conteúdo dos arquivos para destruí-los, renomeando-os usando um nome de resgate e uma extensão feita da string ‘BiBi’ (Bibi é um apelido usado para o primeiro-ministro de Israel, Benjamin Netanyahu) seguido por um número.

Malware BiBi-Linux atinge organizações israelenses

O número anexado à extensão é o número de rodadas que um arquivo foi apagado.

A amostra de limpeza descoberta pelo Security Joes também não apresenta ofuscação, embalagem ou outras medidas de proteção, facilitando muito o trabalho dos analistas de malware.

Isso mostra que os atores da ameaça não estão preocupados com a captura e dissecação de suas ferramentas, concentrando-se, em vez disso, em maximizar o impacto do ataque.

O malware destrutivo também tem sido amplamente utilizado por grupos de ameaças russos para atingir os sistemas de organizações ucranianas desde que a Rússia invadiu a Ucrânia em fevereiro de 2022.

A lista de malwares de limpeza usados ??para atingir a Ucrânia inclui nomes como DoubleZero, HermeticWiper, IsaacWiper, WhisperKill, WhisperGate, CaddyWiper e AcidRain.

Por exemplo, os hackers militares russos Sandworm implantaram cinco tipos diferentes de malware para limpeza de dados na rede da agência nacional de notícias do país (Ukrinform) em janeiro.

Fonte