Търсене
Close this search box.

Израел предупреждава за BiBi wiper атаки, насочени към Linux и Windows

Атаките за изтриване на данни стават все по-чести в израелските компютри, след като изследователи откриха варианти на зловредния софтуер BiBi, който унищожава данни както в системи с Linux, така и с Windows.

През уикенда израелският CERT публикува предупреждение с правила, които могат да помогнат на организациите да идентифицират или предотвратят дейността на  заплахата.

Атаките са част от по-мащабна кибернетична офанзива, насочена към израелски организации, включително в секторите на образованието и технологиите.

Агенцията препоръчва на организациите да използват предоставените идентификатори за всички корпоративни системи за сигурност (напр. управление на информацията и събитията в областта на сигурността – SIEM, откриване и реагиране на крайни точки (EDR) и антивирусни програми).

 

Правителството също така изисква от компаниите да информират националната кибернетична система, ако открият един или повече идентификатори на корпоративните хостове.

Анализ на атаките от изследователи от Palo Alto Networks и Unit42 приписва атаките за изтриване на данни на заплаха, която има „силни връзки с подкрепяна от Иран APT група“, проследена като Agonizing Serpens (известна още като Agrius, BlackShadow, Pink Sandstorm и DEV-0022).

Зловредният софтуер Wiper деактивира опциите за възстановяване

Версиите на чистачката BiBi бяха забелязани в края на октомври от изследователи на компаниите за киберсигурност ESET и SecurityJoes, които отбелязаха, че тя е била пусната от прохамаски хактивисти.

‘BiBi-Linux’ беше открит от екипа за реагиране при инциденти на Security Joes, който на 30 октомври съобщи, че вероятно е бил пуснат от прохамаски хактивисти, за да причини необратимо повреждане на данни и нарушаване на работата.

На следващия ден изследователите на ESET обявиха, че са открили вариант на злонамерения софтуер за Windows, който се разгръща от подкрепяна от Хамас хактивистка група, която те проследяват като BiBiGun.

Зловредният софтуер постига целта си, като просто презаписва файлове и не е включена ексфилтрация на данни, криптиране или искане на откуп.

В петък екипът за разузнаване на заплахите на BlackBerry публикува технически анализ на варианта за Windows за зловредния софтуер BiBi-Linux. Изследователите откриха варианта ден, след като SecurityJoes публикуваха своите открития за новата чистачка за Linux.

BiBi's commands stored in reverse writing order to evade AV detection

Командите на BiBi се съхраняват в обратен ред на писане, за да се избегне откриването им (BlackBerry)

BiBi за Windows е насочен към всички типове файлове с изключение на .EXE, .DLL и .SYS файловете, вероятно защото унищожаването им би направило компютъра неизползваем и хакерите не биха могли да предадат съобщението си.

 

Съдържанието на целевите файлове се презаписва със случайни байтове, за да не могат да бъдат възстановени, и се преименуват, като се използва десетсимволна поредица от случайни букви, последвана от буквено-цифрово разширение, съдържащо символа „BiBi“.

Например файл с първоначално име „document.txt“ може да бъде преименуван на „asdzxcqwer.BiBi3“ след атаката със зловреден софтуер.

Този процес е непредсказуем, като скрива оригиналните имена на файловете и допълнително усложнява усилията за възстановяване на данни.

За да предотврати лесното възстановяване на системата, зловредният софтуер изтрива и сенчестите копия, които съхраняват моментни снимки на системата от по-ранно състояние и често се използват за възстановяване на данни и настройки.

Освен това BiBi изключва режима „Error Recovery“ (възстановяване при грешки) при зареждане на системата и деактивира функцията „Windows Recovery“ (възстановяване на Windows).

BlackBerry заявява, че първоначалният вектор на инфекцията засега остава неизвестен.

В края на миналата седмица Security Joes публикува нов, по-изчерпателен доклад, в който се разглеждат по-задълбочено кампанията и хактивистката група Karma, отговорна за нейното организиране.

Докладът представя някои съвпадения на Karma с известни преди това ирански хактивистки групи като „Moses Staff“, известна преди това с извършването на атаки за криптиране на данни без откуп.

SecurityJoes и BlackBerry предоставят правила YARA [1, 2] за откриване на двата известни в момента варианта на чистачката BiBi заедно с хешове за двата изпълними файла. Друг набор от идентификатори [TXT, CVS] за дейността на заплахата BiBi е на разположение от израелския орган CERT.

 

Източник: По материали от Интернет

Подобни публикации

18 юни 2024

Koсмосът: Последната граница за кибератаки

Неспособността да си представим – и да се подготвим за –...
18 юни 2024

Лондонските болници още не могат да се съвземат...

Няколко лондонски болници, които все още не са се справили с кибера...
17 юни 2024

Арестуваха британец от Scattered Spider

22-годишен британски гражданин, за когото се предполага, че е свърз...
17 юни 2024

Adobe с вътрешни проблеми на фона на опасения, ...

Adobe гаси пожар на два фронта заради политиката си за използване н...
17 юни 2024

Потребностите от електроенергия в центровете за...

Новото партньорство на Google с базираната в Невада компания NV Ene...
17 юни 2024

Microsoft поправи безкликова уязвимост в Outlook

Morphisec предупреждава, че една от уязвимостите, които Microsoft о...
17 юни 2024

ASUS предупреждава за проблеми при 7 рутера

ASUS пусна нова актуализация на фърмуера, която отстранява уязвимос...
16 юни 2024

CISA предупреждава за бъг в Windows, използван ...

Американската агенция за киберсигурност и инфраструктурна сигурност...
16 юни 2024

Бивш служител е осъден на 32 месеца затвор за и...

Бивш служител на National Computer Systems (NCS), отговарящ за осиг...
Бъдете социални
Още по темата
12/06/2024

Китай е поразил поне 20 000...

Холандската служба за военно разузнаване и...
11/06/2024

Google премахва кампании за...

Google разкри, че е премахнала 1320...
08/06/2024

Консултант е глобен с 6 млн...

Политическият консултант, който е написал сценария...
Последно добавени
18/06/2024

Koсмосът: Последната границ...

Неспособността да си представим – и...
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
17/06/2024

Арестуваха британец от Scat...

22-годишен британски гражданин, за когото се...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!