Търсене
Close this search box.

Атаките за изтриване на данни стават все по-чести в израелските компютри, след като изследователи откриха варианти на зловредния софтуер BiBi, който унищожава данни както в системи с Linux, така и с Windows.

През уикенда израелският CERT публикува предупреждение с правила, които могат да помогнат на организациите да идентифицират или предотвратят дейността на  заплахата.

Атаките са част от по-мащабна кибернетична офанзива, насочена към израелски организации, включително в секторите на образованието и технологиите.

Агенцията препоръчва на организациите да използват предоставените идентификатори за всички корпоративни системи за сигурност (напр. управление на информацията и събитията в областта на сигурността – SIEM, откриване и реагиране на крайни точки (EDR) и антивирусни програми).

 

Правителството също така изисква от компаниите да информират националната кибернетична система, ако открият един или повече идентификатори на корпоративните хостове.

Анализ на атаките от изследователи от Palo Alto Networks и Unit42 приписва атаките за изтриване на данни на заплаха, която има „силни връзки с подкрепяна от Иран APT група“, проследена като Agonizing Serpens (известна още като Agrius, BlackShadow, Pink Sandstorm и DEV-0022).

Зловредният софтуер Wiper деактивира опциите за възстановяване

Версиите на чистачката BiBi бяха забелязани в края на октомври от изследователи на компаниите за киберсигурност ESET и SecurityJoes, които отбелязаха, че тя е била пусната от прохамаски хактивисти.

‘BiBi-Linux’ беше открит от екипа за реагиране при инциденти на Security Joes, който на 30 октомври съобщи, че вероятно е бил пуснат от прохамаски хактивисти, за да причини необратимо повреждане на данни и нарушаване на работата.

На следващия ден изследователите на ESET обявиха, че са открили вариант на злонамерения софтуер за Windows, който се разгръща от подкрепяна от Хамас хактивистка група, която те проследяват като BiBiGun.

Зловредният софтуер постига целта си, като просто презаписва файлове и не е включена ексфилтрация на данни, криптиране или искане на откуп.

В петък екипът за разузнаване на заплахите на BlackBerry публикува технически анализ на варианта за Windows за зловредния софтуер BiBi-Linux. Изследователите откриха варианта ден, след като SecurityJoes публикуваха своите открития за новата чистачка за Linux.

BiBi's commands stored in reverse writing order to evade AV detection

Командите на BiBi се съхраняват в обратен ред на писане, за да се избегне откриването им (BlackBerry)

BiBi за Windows е насочен към всички типове файлове с изключение на .EXE, .DLL и .SYS файловете, вероятно защото унищожаването им би направило компютъра неизползваем и хакерите не биха могли да предадат съобщението си.

 

Съдържанието на целевите файлове се презаписва със случайни байтове, за да не могат да бъдат възстановени, и се преименуват, като се използва десетсимволна поредица от случайни букви, последвана от буквено-цифрово разширение, съдържащо символа „BiBi“.

Например файл с първоначално име „document.txt“ може да бъде преименуван на „asdzxcqwer.BiBi3“ след атаката със зловреден софтуер.

Този процес е непредсказуем, като скрива оригиналните имена на файловете и допълнително усложнява усилията за възстановяване на данни.

За да предотврати лесното възстановяване на системата, зловредният софтуер изтрива и сенчестите копия, които съхраняват моментни снимки на системата от по-ранно състояние и често се използват за възстановяване на данни и настройки.

Освен това BiBi изключва режима „Error Recovery“ (възстановяване при грешки) при зареждане на системата и деактивира функцията „Windows Recovery“ (възстановяване на Windows).

BlackBerry заявява, че първоначалният вектор на инфекцията засега остава неизвестен.

В края на миналата седмица Security Joes публикува нов, по-изчерпателен доклад, в който се разглеждат по-задълбочено кампанията и хактивистката група Karma, отговорна за нейното организиране.

Докладът представя някои съвпадения на Karma с известни преди това ирански хактивистки групи като „Moses Staff“, известна преди това с извършването на атаки за криптиране на данни без откуп.

SecurityJoes и BlackBerry предоставят правила YARA [1, 2] за откриване на двата известни в момента варианта на чистачката BiBi заедно с хешове за двата изпълними файла. Друг набор от идентификатори [TXT, CVS] за дейността на заплахата BiBi е на разположение от израелския орган CERT.

 

Източник: По материали от Интернет

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
Бъдете социални
Още по темата
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
09/12/2024

ЕС отправя спешно запитване...

Европейският съюз съобщи в петък, че...
05/12/2024

Шпиониране на шпиони

Според изследване, публикувано в сряда от...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!