Malware BiBi-Linux atinge organizações israelenses

Malware BiBi-Linux atinge organizações israelenses

Um novo malware chamado de BiBi-Linux tem como alvo organizações israelenses em ataques destrutivos. Ele está sendo usado para destruir dados em ataques direcionados a sistemas Linux pertencentes a empresas israelenses.

A equipe de resposta a incidentes do Security Joes descobriu a carga maliciosa enquanto investigava a violação da rede de uma organização israelense. Atualmente, apenas dois mecanismos de verificação de malware de fornecedores de segurança detectam o BiBi-Linux como malicioso, de acordo com o VirusTotal.

O malware revela sua verdadeira natureza ao não fornecer uma nota de resgate ou fornecer às vítimas uma maneira de entrar em contato com os invasores para negociar o pagamento de um descriptografador, mesmo que ele falsifique a criptografia de arquivos.

Malware BiBi-Linux atinge organizações israelenses

“Esta nova ameaça não estabelece comunicação com servidores remotos de Comando e Controle (C2) para exfiltração de dados, emprega algoritmos de criptografia reversíveis ou deixa notas de resgate como meio de coagir as vítimas a fazer pagamentos”, disse Security Joes.

“Em vez disso, ele corrompe arquivos ao sobrescrever arquivos com dados inúteis, danificando os dados e o sistema operacional”.

A carga útil (um executável ELF x64 chamado bibi-linux.out) encontrada nos sistemas da vítima permite que os invasores escolham quais pastas criptografar por meio de parâmetros de linha de comando.

Ele pode limpar completamente o sistema operacional de um dispositivo comprometido quando executado com privilégios de root se os invasores não fornecerem um caminho de destino, pois tentará excluir todo o diretório raiz ‘/’.

BiBi-Linux usa vários threads e um sistema de filas para maior velocidade e eficácia. Ele sobrescreverá o conteúdo dos arquivos para destruí-los, renomeando-os usando um nome de resgate e uma extensão feita da string ‘BiBi’ (Bibi é um apelido usado para o primeiro-ministro de Israel, Benjamin Netanyahu) seguido por um número.

O número anexado à extensão é o número de rodadas que um arquivo foi apagado.

A amostra de limpeza descoberta pelo Security Joes também não apresenta ofuscação, embalagem ou outras medidas de proteção, facilitando muito o trabalho dos analistas de malware.

Isso mostra que os atores da ameaça não estão preocupados com a captura e dissecação de suas ferramentas, concentrando-se, em vez disso, em maximizar o impacto do ataque.

O malware destrutivo também tem sido amplamente utilizado por grupos de ameaças russos para atingir os sistemas de organizações ucranianas desde que a Rússia invadiu a Ucrânia em fevereiro de 2022.

A lista de malwares de limpeza usados ??para atingir a Ucrânia inclui nomes como DoubleZero, HermeticWiper, IsaacWiper, WhisperKill, WhisperGate, CaddyWiper e AcidRain.

Por exemplo, os hackers militares russos Sandworm implantaram cinco tipos diferentes de malware para limpeza de dados na rede da agência nacional de notícias do país (Ukrinform) em janeiro.

Fonte

Acesse a versão completa
Sair da versão mobile