一种名为 BiBi-Linux 的新型恶意软件擦除器正在用于销毁针对以色列公司 Linux 系统的攻击中的数据。
Security Joes 的事件响应团队在调查以色列组织网络的入侵事件时发现了恶意负载。据 VirusTotal 称,目前,只有两家安全供应商的恶意软件扫描引擎将 BiBi-Linux检测为恶意软件。
该恶意软件通过不发送勒索信息或为受害者提供联系攻击者协商解密器付款的方式来揭示其真实本质,即使它伪造了文件加密,
安全乔斯表示:“这种新威胁不会与远程命令与控制 (C2) 服务器建立通信以进行数据泄露,也不会采用可逆加密算法,也不会留下勒索字条作为强迫受害者付款的手段。”
“相反,它通过用无用的数据覆盖文件来进行文件损坏,从而损坏数据和操作系统。”
在受害者系统上发现的有效负载(名为 bibi-linux.out 的 x64 ELF 可执行文件)允许攻击者通过命令行参数选择要加密的文件夹。
如果攻击者不提供目标路径,当以 root 权限运行时,它可以完全擦除受感染设备的操作系统,因为它会尝试删除整个“/”根目录。
BiBi-Linux 使用多线程和队列系统来提高速度和效率。它将覆盖文件内容以销毁它们,使用赎金名称和由“BiBi”字符串组成的扩展名(Bibi 是以色列总理本杰明·内塔尼亚胡的昵称)后跟一个数字来重命名它们。
正如 BleepingComputer 所见,附加到扩展名的数字是文件已被擦除的轮数。
Security Joes 发现的擦除器样本也没有混淆、打包或其他保护措施,这使得恶意软件分析师的工作变得更加容易。
这表明威胁行为者并不关心他们的工具被捕获和剖析,而是专注于最大化他们的攻击影响。
自 2022 年 2 月俄乌问题爆发以来,俄罗斯威胁组织还广泛使用破坏性恶意软件来攻击乌克兰组织的系统。
用于针对乌克兰的擦除器恶意软件列表包括DoubleZero、HermeticWiper、IsaacWiper、WhisperKill、WhisperGate、CaddyWiper和AcidRain 等。
例如,俄罗斯 Sandworm 军事黑客一月份在该国国家通讯社 (Ukrinform) 的网络上部署了五种不同的数据擦除恶意软件。
发表评论
您还未登录,请先登录。
登录