Malware BiBi destrói dados em sistemas Linux e Windows

Recentemente, o CERT de Israel publicou um alerta sobre ataques em que o malware BiBi destrói dados em sistemas Linux e Windows.

Os ataques de limpeza de dados estão se tornando mais frequentes em computadores israelenses à medida que pesquisadores descobrem variantes da família de malware BiBi que destrói dados em sistemas Linux e Windows.

Malware BiBi destrói dados em sistemas Linux e Windows

malware-bibi-destroi-dados-em-sistemas-linux-e-windows
malware-bibi-destroi-dados-em-sistemas-linux-e-windows – Comandos do BiBi armazenados em ordem de escrita inversa para evitar a detecção (BlackBerry)

No fim de semana, o CERT de Israel publicou um alerta com regras que poderiam ajudar as organizações a identificar ou prevenir a atividade dos atores da ameaça.

Os ataques fazem parte de uma ofensiva cibernética mais ampla que tem como alvo organizações israelenses, inclusive nos setores de educação e tecnologia.

A agência recomenda que as organizações usem os identificadores fornecidos para todos os sistemas de segurança corporativos (por exemplo, informações de segurança e gerenciamento de eventos – SIEM, Endpoint Detection and Response (EDR) e antivírus).

O governo também pede às empresas que informem o sistema cibernético nacional caso encontrem um ou mais identificadores nos hosts corporativos.

Uma análise dos ataques de pesquisadores da Palo Alto Networks Unit42 atribui os ataques de limpeza de dados a um ator de ameaça que tem “fortes conexões com um grupo APT apoiado pelo Irã” rastreado como Agonizing Serpens (também conhecido como Agrius, BlackShadow, Pink Sandstorm e DEV- 0022).

O malware Wiper desativa as opções de recuperação
Versões do limpador BiBi foram vistas no final de outubro por pesquisadores das empresas de segurança cibernética ESET e SecurityJoes, que observaram que ele foi lançado por hacktivistas pró-Hamas.

O ‘BiBi-Linux’ foi descoberto pela equipe de resposta a incidentes do Security Joes, que relatou em 30 de outubro que provavelmente foi implantado por hacktivistas pró-Hamas para causar corrupção irreversível de dados e interrupção operacional.

Os pesquisadores da ESET anunciaram no dia seguinte que descobriram a variante do malware para Windows que estava sendo implantada por um grupo hacktivista apoiado pelo Hamas que eles rastreiam como BiBiGun.

O malware atinge seu objetivo simplesmente sobrescrevendo os arquivos e não há exfiltração de dados, criptografia ou pedido de resgate envolvido.

Na sexta-feira, a equipe de inteligência de ameaças do BlackBerry publicou uma análise técnica da variante do Windows para o malware BiBi-Linux. Os pesquisadores encontraram a variante um dia depois que SecurityJoes publicou suas descobertas no novo limpador do Linux.

O malware está compactado em um pequeno executável de 203 KB de 64 bits. Quando iniciado, ele traça o perfil do processador do host para determinar o número de threads que pode utilizar para ataques rápidos de limpeza de dados, suportando até 12 threads em oito núcleos.

Uma lógica semelhante de multithread e enfileiramento foi vista na variante Linux.

De acordo com os pesquisadores, o agente da ameaça usou a técnica simples da direita para a esquerda para contornar as regras de detecção de padrões comuns em produtos antivírus legados.

BiBi para Windows tem como alvo todos os tipos de arquivos, exceto arquivos .EXE, .DLL e .SYS, provavelmente porque destruí-los tornaria o computador inutilizável e os hacktivistas não seriam capazes de transmitir sua mensagem.

Os arquivos alvo têm seu conteúdo substituído por bytes aleatórios para torná-los irrecuperáveis e são renomeados usando uma longa sequência de letras aleatórias de dez caracteres seguida por uma extensão alfanumérica contendo a string “BiBi”.

Por exemplo, um arquivo originalmente chamado “document.txt” pode ser renomeado para “asdzxcqwer.BiBi3” após o ataque de malware.

Este processo é imprevisível, obscurecendo os nomes dos arquivos originais e complicando ainda mais os esforços de recuperação de dados.

Para evitar a fácil restauração do sistema, o malware também exclui as cópias de sombra que contêm instantâneos do sistema de um estado anterior e são frequentemente usadas para recuperar dados e configurações.

Além disso, BiBi desativa o modo ‘Recuperação de Erros’ na inicialização do sistema e desativa o recurso ‘Recuperação do Windows’.

BlackBerry diz que o vetor de infecção inicial permanece desconhecido no momento.

Security Joes publicou um relatório novo e mais abrangente no final da semana passada, analisando mais profundamente a campanha e o grupo hacktivista Karma responsável por sua orquestração.

O relatório apresenta algumas sobreposições do Karma com grupos hacktivistas iranianos anteriormente conhecidos, como o ‘Moses Staff’, anteriormente conhecido por lançar ataques de criptografia de dados sem resgate.

SecurityJoes e BlackBerry fornecem regras YARA [12] para detectar as duas variantes atualmente conhecidas do limpador BiBi junto com hashes para os dois executáveis.

Outro conjunto de identificadores [TXT, CVS] para a atividade de ameaça BiBi está disponível na autoridade CERT de Israel.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.