BiBi-Linux olarak bilinen yeni bir kötü amaçlı yazılım temizleyici, İsrailli şirketlere ait Linux sistemlerini hedef alan saldırılarda verileri yok etmek için kullanılıyor.
Security Joes’un Olay Müdahale ekibi, bir İsrail kuruluşunun ağının ihlalini araştırırken kötü amaçlı yükü keşfetti. VirusTotal’a göre şu anda yalnızca iki güvenlik sağlayıcısının kötü amaçlı yazılım tarama motoru BiBi-Linux’u kötü amaçlı olarak algılıyor.
Kötü amaçlı yazılım, sahte dosya şifrelemesi yapsa bile, bir fidye notu bırakmayarak veya kurbanlara şifre çözücü için ödeme pazarlığı yapmak üzere saldırganlara ulaşmaları için bir yol sunarak gerçek doğasını ortaya koyuyor.
Security Joes, “Bu yeni tehdit, veri sızdırma amacıyla uzak Komuta ve Kontrol (C2) sunucularıyla iletişim kurmaz, tersine çevrilebilir şifreleme algoritmaları kullanmaz veya mağdurları ödeme yapmaya zorlamak için fidye notları bırakmaz” dedi.
“Bunun yerine, gereksiz verileri dosyaların üzerine yazarak hem verilere hem de işletim sistemine zarar vererek dosya bozulmasına neden oluyor.”
Kurbanın sistemlerinde bulunan yük (bibi-linux.out adlı x64 ELF yürütülebilir dosyası), saldırganların komut satırı parametreleri aracılığıyla hangi klasörleri şifreleyeceklerini seçmesine olanak tanıyor.
Saldırganların hedef yolu sağlamaması durumunda, kök ayrıcalıklarıyla çalıştırıldığında, ‘/’ kök dizininin tamamını silmeye çalışacağından, güvenliği ihlal edilmiş bir cihazın işletim sistemini tamamen silebilir.
BiBi-Linux, gelişmiş hız ve etkinlik için birden fazla iş parçacığı ve bir kuyruk sistemi kullanır. Dosyaları yok etmek için dosyaların içeriğinin üzerine yazacak ve onları bir fidye adı ve ‘BiBi’ dizesinden (Bibi, İsrail Başbakanı Benjamin Netanyahu için kullanılan bir takma addır) ve ardından bir numaradan oluşan bir uzantı kullanarak yeniden adlandıracak.
BleepingComputer tarafından görüldüğü gibi, uzantıya eklenen sayı, bir dosyanın silindiği tur sayısıdır.
Security Joes tarafından keşfedilen silecek örneği aynı zamanda herhangi bir gizleme, paketleme veya başka koruyucu önlem içermiyor, bu da kötü amaçlı yazılım analistlerinin işlerini çok daha kolaylaştırıyor.
Bu, tehdit aktörlerinin araçlarının ele geçirilmesi ve parçalara ayrılması konusunda endişe duymadıklarını, bunun yerine saldırılarının etkisini en üst düzeye çıkarmaya odaklandıklarını gösteriyor.
Yıkıcı kötü amaçlı yazılımlar, Rusya’nın Şubat 2022’de Ukrayna’yı işgal etmesinden bu yana Rus tehdit grupları tarafından Ukraynalı kuruluşların sistemlerini hedeflemek için yaygın olarak kullanıldı.
Ukrayna’yı hedef almak için kullanılan zararlı yazılımların listesi arasında DoubleZero, HermeticWiper, IsaacWiper, WhisperKill, WhisperGate, CaddyWiper ve acidRain gibi zararlı yazılımlar yer alıyor.
Örneğin, Rus Sandworm askeri bilgisayar korsanları Ocak ayında ülkenin ulusal haber ajansının (Ukrinform) ağına beş farklı veri silici kötü amaçlı yazılım türü yerleştirdi.