Атаките за изтриване на данни стават все по-чести в израелските компютри, след като изследователи откриха варианти на зловредния софтуер BiBi, който унищожава данни както в системи с Linux, така и с Windows.
През уикенда израелският CERT публикува предупреждение с правила, които могат да помогнат на организациите да идентифицират или предотвратят дейността на заплахата.
Атаките са част от по-мащабна кибернетична офанзива, насочена към израелски организации, включително в секторите на образованието и технологиите.
Агенцията препоръчва на организациите да използват предоставените идентификатори за всички корпоративни системи за сигурност (напр. управление на информацията и събитията в областта на сигурността – SIEM, откриване и реагиране на крайни точки (EDR) и антивирусни програми).
Правителството също така изисква от компаниите да информират националната кибернетична система, ако открият един или повече идентификатори на корпоративните хостове.
Анализ на атаките от изследователи от Palo Alto Networks и Unit42 приписва атаките за изтриване на данни на заплаха, която има „силни връзки с подкрепяна от Иран APT група“, проследена като Agonizing Serpens (известна още като Agrius, BlackShadow, Pink Sandstorm и DEV-0022).
Версиите на чистачката BiBi бяха забелязани в края на октомври от изследователи на компаниите за киберсигурност ESET и SecurityJoes, които отбелязаха, че тя е била пусната от прохамаски хактивисти.
‘BiBi-Linux’ беше открит от екипа за реагиране при инциденти на Security Joes, който на 30 октомври съобщи, че вероятно е бил пуснат от прохамаски хактивисти, за да причини необратимо повреждане на данни и нарушаване на работата.
На следващия ден изследователите на ESET обявиха, че са открили вариант на злонамерения софтуер за Windows, който се разгръща от подкрепяна от Хамас хактивистка група, която те проследяват като BiBiGun.
Зловредният софтуер постига целта си, като просто презаписва файлове и не е включена ексфилтрация на данни, криптиране или искане на откуп.
В петък екипът за разузнаване на заплахите на BlackBerry публикува технически анализ на варианта за Windows за зловредния софтуер BiBi-Linux. Изследователите откриха варианта ден, след като SecurityJoes публикуваха своите открития за новата чистачка за Linux.
Командите на BiBi се съхраняват в обратен ред на писане, за да се избегне откриването им (BlackBerry)
BiBi за Windows е насочен към всички типове файлове с изключение на .EXE, .DLL и .SYS файловете, вероятно защото унищожаването им би направило компютъра неизползваем и хакерите не биха могли да предадат съобщението си.
Съдържанието на целевите файлове се презаписва със случайни байтове, за да не могат да бъдат възстановени, и се преименуват, като се използва десетсимволна поредица от случайни букви, последвана от буквено-цифрово разширение, съдържащо символа „BiBi“.
Например файл с първоначално име „document.txt“ може да бъде преименуван на „asdzxcqwer.BiBi3“ след атаката със зловреден софтуер.
Този процес е непредсказуем, като скрива оригиналните имена на файловете и допълнително усложнява усилията за възстановяване на данни.
За да предотврати лесното възстановяване на системата, зловредният софтуер изтрива и сенчестите копия, които съхраняват моментни снимки на системата от по-ранно състояние и често се използват за възстановяване на данни и настройки.
Освен това BiBi изключва режима „Error Recovery“ (възстановяване при грешки) при зареждане на системата и деактивира функцията „Windows Recovery“ (възстановяване на Windows).
BlackBerry заявява, че първоначалният вектор на инфекцията засега остава неизвестен.
В края на миналата седмица Security Joes публикува нов, по-изчерпателен доклад, в който се разглеждат по-задълбочено кампанията и хактивистката група Karma, отговорна за нейното организиране.
Докладът представя някои съвпадения на Karma с известни преди това ирански хактивистки групи като „Moses Staff“, известна преди това с извършването на атаки за криптиране на данни без откуп.
SecurityJoes и BlackBerry предоставят правила YARA [1, 2] за откриване на двата известни в момента варианта на чистачката BiBi заедно с хешове за двата изпълними файла. Друг набор от идентификатори [TXT, CVS] за дейността на заплахата BiBi е на разположение от израелския орган CERT.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.