Saldırganlar, İsrail şirketlerine saldırmak ve verilerini yok etmek için BiBi-Linux adı verilen yeni silme kötü amaçlı yazılımını kullanmaya başladı.
BiBi-Linux sileceği
Security Joe’nun Olay Müdahale ekibi, kötü amaçlı yazılımı, bir İsrail şirketindeki bir ihlale ilişkin adli tıp soruşturması sırasında buldu.
“Bu kötü amaçlı yazılım, x64 ELF çalıştırılabilir bir dosyadır ve gizleme veya koruyucu önlemlerden yoksundur. Security Joes araştırmacıları, saldırganların hedef klasörleri belirlemesine olanak tanıdığını ve kök izinleriyle çalıştırıldığında tüm işletim sistemini potansiyel olarak yok edebileceğini belirtti.
“Yürütme sırasında kapsamlı bir şekilde üretir [terminal] ‘nohup’ komutu kullanılarak azaltılabilen çıktı. Ayrıca dosyaları aynı anda bozmak için birden fazla iş parçacığı ve bir kuyruktan yararlanarak hızını ve erişimini artırıyor.”
Silecek, önce rastgele verilerle dosyaların içeriğinin üzerine yazar, ardından bunları yeniden adlandırır ve “BiBi” (Bibi, İsrail Başbakanı Benjamin Netanyahu’nun takma adıdır) alt dizesini içeren bir uzantı ekler. Etkilemiyor .dışarı veya .Bu yüzden dosya türleri (.Bu yüzden Unix/Linux işletim sistemlerinin çalışması için gereklidir).
Hiçbir fidye notu gösterilmiyor ve kötü amaçlı yazılım, tersine çevrilebilir şifreleme algoritmaları kullanmıyor ve verileri sızdırmak için C2 iletişimi kurmuyor. Bütün bunlar bunun tamamen yıkıcı bir çaba olduğuna işaret ediyor.
“Özellikle dikkatimizi çeken şey, analiz edilen ikili dosyanın daha önce hiç belgelenmemiş olmasıydı. Bu raporun yazıldığı an itibarıyla VirusTotal’da yalnızca iki tespit alınmıştır. Bu, kötü amaçlı yazılımın nispeten yeni olduğunu ve henüz geniş çapta dağıtılmadığını gösteriyor” dedi araştırmacılar.
Ayrıca araştırılan silecek örneği için IoC’leri, Yara kurallarını ve TTP’leri de yayınladılar.
Silecek saldırıları
Filistin yanlısı hacktivistler son zamanlarda saldırılarını yalnızca İsrail’in hedeflerini değil aynı zamanda İsrail’in müttefiki olduğu düşünülen ülkeleri de hedef alacak şekilde genişletti.
Wiper kötü amaçlı yazılımı aynı zamanda Rus bilgisayar korsanları tarafından Ukrayna şirketlerini, devlet kuruluşlarını ve kritik altyapıyı hedeflemek için yaygın olarak kullanılıyor.
Silecekleri kullanan saldırganların genellikle maddi çıkarları yoktur, mümkün olduğu kadar çok veriyi silmeyi ve işletim sistemlerini yok etmeyi amaçlarlar.