Израел предупреждава за BiBi wiper атаки, насочени към Linux и Windows

Picture of Здравко Боджов
Здравко Боджов
Aрхив | Зловреден код

Атаките за изтриване на данни стават все по-чести в израелските компютри, след като изследователи откриха варианти на зловредния софтуер BiBi, който унищожава данни както в системи с Linux, така и с Windows.

През уикенда израелският CERT публикува предупреждение с правила, които могат да помогнат на организациите да идентифицират или предотвратят дейността на  заплахата.

Атаките са част от по-мащабна кибернетична офанзива, насочена към израелски организации, включително в секторите на образованието и технологиите.

Агенцията препоръчва на организациите да използват предоставените идентификатори за всички корпоративни системи за сигурност (напр. управление на информацията и събитията в областта на сигурността – SIEM, откриване и реагиране на крайни точки (EDR) и антивирусни програми).

 

Правителството също така изисква от компаниите да информират националната кибернетична система, ако открият един или повече идентификатори на корпоративните хостове.

Анализ на атаките от изследователи от Palo Alto Networks и Unit42 приписва атаките за изтриване на данни на заплаха, която има „силни връзки с подкрепяна от Иран APT група“, проследена като Agonizing Serpens (известна още като Agrius, BlackShadow, Pink Sandstorm и DEV-0022).

Зловредният софтуер Wiper деактивира опциите за възстановяване

Версиите на чистачката BiBi бяха забелязани в края на октомври от изследователи на компаниите за киберсигурност ESET и SecurityJoes, които отбелязаха, че тя е била пусната от прохамаски хактивисти.

‘BiBi-Linux’ беше открит от екипа за реагиране при инциденти на Security Joes, който на 30 октомври съобщи, че вероятно е бил пуснат от прохамаски хактивисти, за да причини необратимо повреждане на данни и нарушаване на работата.

На следващия ден изследователите на ESET обявиха, че са открили вариант на злонамерения софтуер за Windows, който се разгръща от подкрепяна от Хамас хактивистка група, която те проследяват като BiBiGun.

Зловредният софтуер постига целта си, като просто презаписва файлове и не е включена ексфилтрация на данни, криптиране или искане на откуп.

В петък екипът за разузнаване на заплахите на BlackBerry публикува технически анализ на варианта за Windows за зловредния софтуер BiBi-Linux. Изследователите откриха варианта ден, след като SecurityJoes публикуваха своите открития за новата чистачка за Linux.

BiBi's commands stored in reverse writing order to evade AV detection

Командите на BiBi се съхраняват в обратен ред на писане, за да се избегне откриването им (BlackBerry)

BiBi за Windows е насочен към всички типове файлове с изключение на .EXE, .DLL и .SYS файловете, вероятно защото унищожаването им би направило компютъра неизползваем и хакерите не биха могли да предадат съобщението си.

 

Съдържанието на целевите файлове се презаписва със случайни байтове, за да не могат да бъдат възстановени, и се преименуват, като се използва десетсимволна поредица от случайни букви, последвана от буквено-цифрово разширение, съдържащо символа „BiBi“.

Например файл с първоначално име „document.txt“ може да бъде преименуван на „asdzxcqwer.BiBi3“ след атаката със зловреден софтуер.

Този процес е непредсказуем, като скрива оригиналните имена на файловете и допълнително усложнява усилията за възстановяване на данни.

За да предотврати лесното възстановяване на системата, зловредният софтуер изтрива и сенчестите копия, които съхраняват моментни снимки на системата от по-ранно състояние и често се използват за възстановяване на данни и настройки.

Освен това BiBi изключва режима „Error Recovery“ (възстановяване при грешки) при зареждане на системата и деактивира функцията „Windows Recovery“ (възстановяване на Windows).

BlackBerry заявява, че първоначалният вектор на инфекцията засега остава неизвестен.

В края на миналата седмица Security Joes публикува нов, по-изчерпателен доклад, в който се разглеждат по-задълбочено кампанията и хактивистката група Karma, отговорна за нейното организиране.

Докладът представя някои съвпадения на Karma с известни преди това ирански хактивистки групи като „Moses Staff“, известна преди това с извършването на атаки за криптиране на данни без откуп.

SecurityJoes и BlackBerry предоставят правила YARA [1, 2] за откриване на двата известни в момента варианта на чистачката BiBi заедно с хешове за двата изпълними файла. Друг набор от идентификатори [TXT, CVS] за дейността на заплахата BiBi е на разположение от израелския орган CERT.

 

#хибридна война
По материали от Интернет

Подобни

Supply-chain атака компрометира AppsFlyer Web SDK
16.03.2026
0427_cyberattack
ФБР разследва зловредни Steam игри
16.03.2026
FBI__headpic
Storm-2561 разпространява фалшиви VPN клиенти за кражба на данни
15.03.2026
stefancoders-vpn-shield-4634563_640
Кибератака с wiper малуер срещу Stryker
13.03.2026
181213-iran-hacking
Нова кампания със зловреден софтуер преди наградите Оскар
13.03.2026
pirate-flag-7541041_640
Глобална кампания компрометира WordPress сайтове
13.03.2026
wordpress

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.