Ранее доступный лишь для Linux, опасный вредонос резко расширяет область своего применения.
Разрушительный вирус-вайпер BiBi Wiper, ранее замеченный только на Linux, теперь появился в версии для Windows и успешно применяется в кибератаках, нацеленных на израильские организации. Об этом сообщают специалисты кибербезопасности из компании BlackBerry.
Вайпер «BiBi-Windows», как его окрестили исследователи, является полным аналогом вируса «BiBi-Linux», который использовала одна из пропалестинских хакерских группировок после начала военного конфликта Израиля и ХАМАС в прошлом месяце.
«Появление версии для Windows подтверждает, что создатели вируса продолжают развивать своё вредоносное ПО. Это указывает на расширение атак на конечные пользовательские машины и серверы приложений», — заявила канадская компания 10 ноября.
ESET, другая известная компания в сфере кибербезопасности, отслеживает злоумышленников , распространяющих данный вайпер, под именем BiBiGun. Эксперты компании отмечают, что версия вредоноса для Windows («bibi.exe») предназначена для рекурсивной перезаписи данных в каталоге «C:\Users\» мусорными данными с добавлением расширения «.BiBi» к имени файлов.
Примечательно, что рассмотренный исследователями экземпляр BiBi-Windows был скомпилирован 21 октября 2023 года, ещё до того, как исследователям стало известно о Linux-версии вредоноса. В то же время, точный метод распространения вайпера до сих пор остаётся неизвестным.
Помимо повреждения всех файлов, за исключением тех, которые имеют расширения «.exe», «.dll» и «.sys», вирус удаляет резервные копии системы, эффективно лишая жертв возможности восстановить свои файлы.
Ещё одно сходство BiBi-Windows с его Linux-версией — это возможность многопоточной работы. «Для максимально быстрого и разрушительного действия вирус запускает 12 потоков на 8 ядрах процессора», — сказал Дмитрий Бестужев, старший директор по киберразведке в BlackBerry.
Пока неясно, применялся ли этот вирус в реальных атаках, и если да, то против кого он был направлен.
Специалисты из компании Security Joes, которые первыми задокументировали BiBi-Linux, считают данные вредоносы лишь частью более масштабной зловредной операции, нацеленной на израильские компании с умышленным намерением нарушить их повседневную деятельность при помощи уничтожения данных.
Исследователи Security Joes также заявили, что обнаружили тактические пересечения между BiBiGun и группировкой, которая называет себя Karma, а также геополитически мотивированной группой под кодовым именем Moses Staff (также известна как Cobalt Sapling), которая, как считается, имеет иранское происхождение.
«Хотя кампания до сих пор была сосредоточена в основном на израильских IT и госсекторах, некоторые из участвующих групп, такие как Moses Staff, имеют историю одновременных атак на организации в разных отраслях бизнеса и географических регионах», — заявили в Security Joes.
Но доступ к знаниям открыт для всех