Команда Security Joes Incident Response добровольно провела расследование сетей израильских компаний, которые были атакованы связанной с ХАМАСом хактивистской группой. В ходе этого расследования была обнаружена новая вредоносная программа Linux Wiper, известная как BiBi-Linux Wiper. Эта программа представляет собой исполняемый файл формата ELF, который может уничтожить операционную систему, если запущен с правами root. Программа использует несколько потоков и очередь для одновременного повреждения файлов. Она перезаписывает файлы и переименовывает их в случайные строки, содержащие "BiBi".
BiBi-Linux Wiper
Этот случай атаки отличается от типичного мотива финансовой выгоды. В данном случае мотивом является политическая идеология, связанная с продолжающейся войной.
Вредоносная программа BiBi-Linux не устанавливает связь с удаленными серверами командования и управления (C2) и не оставляет записок с требованием выкупа. Ее цель - уничтожение данных, повреждение файлов и операционной системы.
Еще одна особенность этой программы - ее отсутствие на VirusTotal и низкое количество обнаружений. Это говорит о том, что она относительно новая и не получила широкого распространения. Обнаруженные вредоносные файлы имели имя "bibi-linux.out", где "bibi" связано с премьер-министром Израиля Биньямином Нетаньяху. Также была найдена жестко закодированная строка "BiBi", которая использовалась для генерации расширений поврежденных файлов.
Такие атаки, связанные с политическими конфликтами, не являются редкостью. Они обычно связаны со сложными политическими ситуациями и войнами. Вредоносная программа BiBi-Linux Wiper не предоставляет жертвам средств для восстановления файлов, а ее главная цель - быстро повредить как можно больше файлов. Для этого она использует многопоточный подход. Команда Security Joes Incident Response предлагает свои услуги по реагированию на подобные инциденты и дополнительные рекомендации по защите от таких атак.
Indicators of Compromise
SHA256
- 23bae09b5699c2d5c4cb1b8aa908a3af898b00f88f06e021edcb16d7d558efad
