Cybersecurity-onderzoekers hebben gewaarschuwd voor een Windows-versie van een wiper-malware die eerder werd waargenomen gericht op Linux-systemen bij cyberaanvallen gericht op Israël.
Nagesynchroniseerd BiBi-Windows-wisser van BlackBerry is de wiper de Windows-tegenhanger van BiBi-Linux Wiper, die in gebruik is genomen door een pro-Hamas hacktivistische groep in de nasleep van de Israël-Hamas-oorlog van vorige maand.
“De Windows-variant […] bevestigt dat de bedreigingsactoren die de wiper hebben gemaakt de malware blijven uitbouwen, en duidt op een uitbreiding van de aanval naar machines en applicatieservers van eindgebruikers”, aldus het Canadese bedrijf vrijdag.
Het Slowaakse cyberbeveiligingsbedrijf is dat wel volgen de acteur achter de wisser onder de naam BiBiGun, waarbij hij opmerkt dat de Windows-variant (bibi.exe) is ontworpen om gegevens in de map C:Users recursief te overschrijven met ongewenste gegevens en .BiBi aan de bestandsnaam toe te voegen.
Het BiBi-Windows Wiper-artefact zou zijn samengesteld op 21 oktober 2023, twee weken na het uitbreken van de oorlog. De exacte methode waarmee het wordt verspreid, is momenteel onbekend.
Naast het corrumperen van alle bestanden, met uitzondering van de bestanden met de extensies .exe, .dll en .sys, verwijdert de wiper schaduwkopieën van het systeem, waardoor de slachtoffers effectief hun bestanden niet kunnen herstellen.
Een andere opmerkelijke overeenkomst met de Linux-variant is de multithreading-mogelijkheid.
“Voor de snelst mogelijke vernietigingsactie draait de malware twaalf threads met acht processorkernen”, zegt Dmitry Bestuzhev, senior directeur cyberdreigingsinformatie bij BlackBerry.
Het is niet meteen duidelijk of de ruitenwisser is ingezet bij echte aanvallen, en zo ja, wie de doelwitten zijn.
De ontwikkeling komt op het moment dat Security Joes, die voor het eerst BiBi-Linux Wiper documenteerde, zei dat de malware deel uitmaakt van een “grotere campagne gericht op Israëlische bedrijven met de doelbewuste bedoeling om hun dagelijkse activiteiten te verstoren door middel van gegevensvernietiging.”
Het cyberbeveiligingsbedrijf zei dat het tactische overlappingen heeft vastgesteld tussen de hacktivistische groep, die zichzelf Karma noemt, en een andere geopolitiek gemotiveerde actor met de codenaam Moses Staff (ook bekend als Cobalt Sapling), die vermoedelijk van Iraanse afkomst is.
“Hoewel de campagne zich tot nu toe vooral concentreerde op de Israëlische IT- en overheidssectoren, hebben sommige van de deelnemende groepen, zoals Moses Staff, een geschiedenis van het gelijktijdig targeten van organisaties in verschillende bedrijfssectoren en geografische locaties”, aldus Security Joes.
