Um novo malware chamado de BiBi-Linux tem como alvo organizações israelenses em ataques destrutivos. Ele está sendo usado para destruir dados em ataques direcionados a sistemas Linux pertencentes a empresas israelenses.
A equipe de resposta a incidentes do Security Joes descobriu a carga maliciosa enquanto investigava a violação da rede de uma organização israelense. Atualmente, apenas dois mecanismos de verificação de malware de fornecedores de segurança detectam o BiBi-Linux como malicioso, de acordo com o VirusTotal.
O malware revela sua verdadeira natureza ao não fornecer uma nota de resgate ou fornecer às vítimas uma maneira de entrar em contato com os invasores para negociar o pagamento de um descriptografador, mesmo que ele falsifique a criptografia de arquivos.
Malware BiBi-Linux atinge organizações israelenses
“Esta nova ameaça não estabelece comunicação com servidores remotos de Comando e Controle (C2) para exfiltração de dados, emprega algoritmos de criptografia reversíveis ou deixa notas de resgate como meio de coagir as vítimas a fazer pagamentos”, disse Security Joes.
“Em vez disso, ele corrompe arquivos ao sobrescrever arquivos com dados inúteis, danificando os dados e o sistema operacional”.
A carga útil (um executável ELF x64 chamado bibi-linux.out) encontrada nos sistemas da vítima permite que os invasores escolham quais pastas criptografar por meio de parâmetros de linha de comando.
Ele pode limpar completamente o sistema operacional de um dispositivo comprometido quando executado com privilégios de root se os invasores não fornecerem um caminho de destino, pois tentará excluir todo o diretório raiz ‘/’.
BiBi-Linux usa vários threads e um sistema de filas para maior velocidade e eficácia. Ele sobrescreverá o conteúdo dos arquivos para destruí-los, renomeando-os usando um nome de resgate e uma extensão feita da string ‘BiBi’ (Bibi é um apelido usado para o primeiro-ministro de Israel, Benjamin Netanyahu) seguido por um número.
O número anexado à extensão é o número de rodadas que um arquivo foi apagado.
A amostra de limpeza descoberta pelo Security Joes também não apresenta ofuscação, embalagem ou outras medidas de proteção, facilitando muito o trabalho dos analistas de malware.
Isso mostra que os atores da ameaça não estão preocupados com a captura e dissecação de suas ferramentas, concentrando-se, em vez disso, em maximizar o impacto do ataque.
O malware destrutivo também tem sido amplamente utilizado por grupos de ameaças russos para atingir os sistemas de organizações ucranianas desde que a Rússia invadiu a Ucrânia em fevereiro de 2022.
A lista de malwares de limpeza usados ??para atingir a Ucrânia inclui nomes como DoubleZero, HermeticWiper, IsaacWiper, WhisperKill, WhisperGate, CaddyWiper e AcidRain.
Por exemplo, os hackers militares russos Sandworm implantaram cinco tipos diferentes de malware para limpeza de dados na rede da agência nacional de notícias do país (Ukrinform) em janeiro.