Um novo malware chamado de BiBi-Linux tem como alvo organizações israelenses em ataques destrutivos. Ele está sendo usado para destruir dados em ataques direcionados a sistemas Linux pertencentes a empresas israelenses.
A equipe de resposta a incidentes do Security Joes descobriu a carga maliciosa enquanto investigava a violação da rede de uma organização israelense. Atualmente, apenas dois mecanismos de verificação de malware de fornecedores de segurança detectam o BiBi-Linux como malicioso, de acordo com o VirusTotal.
O malware revela sua verdadeira natureza ao não fornecer uma nota de resgate ou fornecer às vítimas uma maneira de entrar em contato com os invasores para negociar o pagamento de um descriptografador, mesmo que ele falsifique a criptografia de arquivos.
Malware BiBi-Linux atinge organizações israelenses
“Esta nova ameaça não estabelece comunicação com servidores remotos de Comando e Controle (C2) para exfiltração de dados, emprega algoritmos de criptografia reversíveis ou deixa notas de resgate como meio de coagir as vítimas a fazer pagamentos”, disse Security Joes.
“Em vez disso, ele corrompe arquivos ao sobrescrever arquivos com dados inúteis, danificando os dados e o sistema operacional”.
A carga útil (um executável ELF x64 chamado bibi-linux.out) encontrada nos sistemas da vítima permite que os invasores escolham quais pastas criptografar por meio de parâmetros de linha de comando.
Ele pode limpar completamente o sistema operacional de um dispositivo comprometido quando executado com privilégios de root se os invasores não fornecerem um caminho de destino, pois tentará excluir todo o diretório raiz ‘/’.
Notícias Relacionadas
Segurança digital
Malicious NPM Packages Alvo Roblox com malware de roubo de dados
Pacotes maliciosos no repositório npm estão infectando desenvolvedores de Roblox com malware de roubo de dados, Skuld e Blank Grabber. Esta campanha explora falhas na segurança da cadeia de suprimentos.
Segurança avançada
Novo malware CRON#TRAP usa VM Linux para infectar Windows sem detecção
Descubra como o malware CRON#TRAP infecta o Windows ao operar escondido em uma máquina virtual Linux, burlando sistemas antivírus com uma tática avançada de ocultação.
BiBi-Linux usa vários threads e um sistema de filas para maior velocidade e eficácia. Ele sobrescreverá o conteúdo dos arquivos para destruí-los, renomeando-os usando um nome de resgate e uma extensão feita da string ‘BiBi’ (Bibi é um apelido usado para o primeiro-ministro de Israel, Benjamin Netanyahu) seguido por um número.
O número anexado à extensão é o número de rodadas que um arquivo foi apagado.
A amostra de limpeza descoberta pelo Security Joes também não apresenta ofuscação, embalagem ou outras medidas de proteção, facilitando muito o trabalho dos analistas de malware.
Isso mostra que os atores da ameaça não estão preocupados com a captura e dissecação de suas ferramentas, concentrando-se, em vez disso, em maximizar o impacto do ataque.
O malware destrutivo também tem sido amplamente utilizado por grupos de ameaças russos para atingir os sistemas de organizações ucranianas desde que a Rússia invadiu a Ucrânia em fevereiro de 2022.
A lista de malwares de limpeza usados ??para atingir a Ucrânia inclui nomes como DoubleZero, HermeticWiper, IsaacWiper, WhisperKill, WhisperGate, CaddyWiper e AcidRain.
Por exemplo, os hackers militares russos Sandworm implantaram cinco tipos diferentes de malware para limpeza de dados na rede da agência nacional de notícias do país (Ukrinform) em janeiro.
