Les attaques par effacement de données sont de plus en plus fréquentes sur les ordinateurs israéliens, les chercheurs ayant découvert des variantes de la famille de logiciels malveillants BiBi qui détruisent les données sur les systèmes Linux et Windows.
Au cours du week-end, le CERT israélien a publié une alerte contenant des règles qui pourraient aider les organisations à identifier ou à empêcher l’activité des acteurs menaçants.
Ces attaques font partie d’une cyber-offensive plus large qui cible les organisations israéliennes, notamment dans les secteurs de l’éducation et de la technologie.
L’agence recommande aux organisations d’utiliser les identifiants fournis pour tous les systèmes de sécurité d’entreprise (par exemple, informations de sécurité et gestion des événements – SIEM, Endpoint Detection and Response (EDR) et antivirus).
Le gouvernement israéliens demande également aux entreprises d’informer le cybersystème national si elles trouvent un ou plusieurs identifiants sur les hébergeurs de l’entreprise.
Une analyse des attaques réalisée par des chercheurs de Palo Alto Networks Unit42 attribue les attaques d’effacement de données à un acteur menaçant qui a « des liens étroits avec un groupe APT soutenu par l’Iran » et qui est suivi sous le nom d’Agonizing Serpens (alias Agrius, BlackShadow, Pink Sandstorm et DEV- 0022).
Le malware Wiper désactive les options de récupération
Des versions du nettoyeur BiBi ont été vues fin octobre par des chercheurs des sociétés de cybersécurité ESET et SecurityJoes, qui ont noté qu’il avait été lancé par des hacktivistes pro-Hamas.
« BiBi-Linux » a été découvert par l’équipe de réponse aux incidents de Security Joes, qui a rapporté le 30 octobre qu’il avait probablement été déployé par des hacktivistes pro-Hamas pour provoquer une corruption irréversible des données et une perturbation opérationnelle.
Les chercheurs d’ESET ont annoncé le lendemain avoir découvert la variante Windows du malware déployé par un groupe hacktiviste soutenu par le Hamas qu’ils suivent sous le nom de BiBiGun.
Le malware atteint son objectif en écrasant simplement les fichiers et sans exfiltration de données, cryptage ou demande de rançon.
Vendredi, l’équipe de renseignement sur les menaces de BlackBerry a publié une analyse technique de la variante Windows du malware BiBi-Linux. Les chercheurs ont découvert la variante un jour après que SecurityJoes a publié ses conclusions sur le nouvel essuie-glace Linux.
Le malware est regroupé dans un petit exécutable 64 bits de 203 Ko. Une fois lancé, il profile le processeur de l’hôte pour déterminer le nombre de threads qu’il peut exploiter pour des attaques rapides d’effacement de données, prenant en charge jusqu’à 12 threads sur huit cœurs. Une logique multithread et de mise en file d’attente similaire a été observée dans la variante Linux.
Selon les chercheurs, l’auteur de la menace a utilisé la simple technique de droite à gauche pour contourner les règles de détection de modèles courantes dans les anciens produits antivirus.
BiBi pour Windows cible tous les types de fichiers à l’exception des fichiers .EXE, .DLL et .SYS, probablement parce que leur destruction rendrait l’ordinateur inutilisable et que les hacktivistes ne pourraient pas relayer leur message.
Les fichiers ciblés voient leur contenu écrasé par des octets aléatoires pour les rendre irrécupérables, et sont renommés à l’aide d’une séquence de dix caractères aléatoires suivie d’une extension alphanumérique contenant la chaîne « BiBi ».
Par exemple, un fichier initialement nommé « document.txt » peut être renommé « asdzxcqwer.BiBi3 » après l’attaque du logiciel malveillant.
Ce processus est imprévisible, obscurcissant les noms de fichiers d’origine et compliquant encore davantage les efforts de récupération de données.
Pour empêcher une restauration facile du système, le logiciel malveillant supprime également les clichés instantanés qui contiennent des instantanés du système d’un état antérieur et sont souvent utilisés pour récupérer des données et des paramètres.
De plus, BiBi désactive le mode « Récupération d’erreur » au démarrage du système et désactive la fonctionnalité « Récupération Windows ».
BlackBerry affirme que le vecteur d’infection initial reste inconnu à l’époque.
Security Joes a publié un nouveau rapport plus complet à la fin de la semaine dernière, approfondissant la campagne et le groupe hacktiviste Karma responsable de son orchestration.
Le rapport présente certains chevauchements de Karma avec des groupes hacktivistes iraniens précédemment connus, tels que « Moses Staff », auparavant connu pour lancer des attaques de cryptage de données sans rançon.
SecurityJoes et BlackBerry fournissent des règles YARA [1, 2] pour détecter les deux variantes actuellement connues de l’essuie-glace BiBi ainsi que des hachages pour les deux exécutables. Un autre ensemble d’identifiants [TXT, CVS] pour l’activité de menace BiBi est disponible auprès de l’autorité israélienne CERT.