BiBi-Linux Wiper. Новое вредоносное ПО

Эксперты по кибербезопасности из группы реагирования на инциденты Security Joes обнаружили интересную находку: новый тип вредоносного ПО, который получил название BiBi-Linux Wiper.

Security Joes – это многоуровневая компания, стратегически расположенная в девяти различных часовых поясах по всему миру и обеспечивающая покрытие MDR и IR по принципу “следуй за солнцем” для удалённого реагирования на любые киберинциденты.

Вредоносная программа предназначена для систем Linux. Это ПО представляет собой исполняемый файл ELF x64, не имеющий обфускации или защитных мер, который получив root-доступ, способен уничтожить всю операционную систему.

Отличительной особенностью этого вредоносного ПО является его способность нацеливаться на определенные папки, перезаписывать файлы и одновременно повреждать данные, используя многопоточность, что значительно усиливает его воздействие и скорость работы.

В отличие от других типов вредоносных программ, нацеленных на кражу данных или требование выкупа, BiBi-Linux Wiper использует иной подход. Он повреждает файлы операционной системы, перезаписывая данные бесполезной информацией, в результате чего поражённые файлы становятся непригодными для использования.

Подобное разрушительное ПО, часто называемое “Wiper”, не является чем-то новым, но по-прежнему представляет угрозу кибербезопасности для компаний, предприятий и ничего не подозревающих пользователей.

По заявлению экспертов, примечательной деталью является имя каждого заражённого файла – bibi-linux.out. Это название, кажущееся случайным, на самом деле имеет политический подтекст, поскольку “bibi” – это прозвище нынешнего премьер-министра Израиля Биньямина Нетаньяху. Дальнейшее изучение внутреннего устройства вредоносной программы показало, что эта строка жёстко закодирована в её структуре и используется для генерации идентификаторов повреждённых файлов.

Исследователи отметили редкость этой вредоносной программы: на момент проведения исследования она была обнаружена на VirusTotal всего два раза, что говорит о её новизне и ограниченном распространении.

При выполнении вредоносная программа выдаёт чрезмерное количество выходных данных, раскрывающих сведения о ходе её работы и действиях. Чтобы решить эту проблему, злоумышленники используют команду «nohup», перенаправляя выходные данные в файл и предотвращая остановку процесса удаления данных даже в случае закрытия консоли.

Использование многопоточности и системных вызовов позволяет “вредоносу” быстро и эффективно повреждать файлы. Вредоносная программа действует по определённой схеме: перезаписывает файлы случайными данными, переименовывая их с расширением BiBi и исключает определённые типы файлов, имеющие решающее значение для функционирования операционной системы.

Материалы: Hackread.com (WAQAS)