Limpiador BiBi

Se ha observado una nueva variante del malware BiBi Wiper dirigida a la tabla de particiones del disco, lo que complica la restauración de datos y extiende el tiempo de inactividad de sus víctimas. Los ataques que utilizaron BiBi Wiper contra Israel y Albania se atribuyeron a un presunto grupo de hackers iraní conocido como Void Manticore (Storm-842), que se cree que está afiliado al Ministerio de Inteligencia y Seguridad de Irán (MOIS).

Los investigadores identificaron por primera vez a BiBi Wiper en octubre de 2023, lo que llevó al CERT de Israel a emitir una advertencia en noviembre de 2023 sobre ciberataques extensos contra organizaciones críticas en el país. Un informe reciente ha revelado versiones más nuevas de BiBi Wiper junto con otros dos limpiadores personalizados, Cl Wiper y Partition Wiper, empleados por el mismo grupo de amenazas.

Los ciberdelincuentes de Void Manticore pueden esconderse detrás de personas falsas

Se sospecha que Void Manticore opera bajo la apariencia del grupo de hacktivismo Karma en Telegram, que surgió a raíz del ataque de Hamas a Israel en octubre. Karma ha asumido la responsabilidad de los ataques a más de 40 entidades israelíes, utilizando Telegram para mostrar datos recopilados o evidencia de unidades borradas, amplificando el impacto de sus actividades. Las operaciones albanesas involucraron a una persona conocida como Homeland Justice, y algunos de los archivos robados se filtraron en Telegram.

Esta táctica refleja fielmente el modus operandi de Sandworm (APT44), conocido por utilizar canales de Telegram con temática hacktivista como XakNet Team, CyberArmyofRussia_Reborn y Solntsepek.

Una revelación intrigante es que Void Manticore parece delegar el control de la infraestructura comprometida a Scarred Manticore en ciertos casos. Scarred Manticore se especializa en establecer acceso inicial, a menudo explotando vulnerabilidades como la falla Microsoft Sharepoint CVE-2019-0604, realizando movimientos laterales SMB y recopilando correos electrónicos. Una vez infiltradas, estas organizaciones pasan a Void Manticore para la inyección de carga útil, un mayor movimiento lateral dentro de la red y el despliegue de mecanismos de eliminación de datos.

El limpiaparabrisas BiBi continúa evolucionando sus capacidades destructivas

Void Manticore emplea una variedad de herramientas para sus actividades destructivas, incluidos shells web, herramientas de eliminación manual, limpiadores personalizados y herramientas de verificación de credenciales.

Las últimas versiones del malware BiBi Wiper manipulan archivos que no pertenecen al sistema reemplazándolos con datos aleatorios y agregando una extensión generada aleatoriamente que contiene el identificador 'BiBi'. BiBi se manifiesta en variantes de Linux y Windows, cada una con características y matices operativos distintos.

En entornos Linux, BiBi inicia múltiples subprocesos correspondientes a los núcleos de CPU disponibles para acelerar el proceso de limpieza. Por el contrario, la versión de BiBi para Windows excluye los archivos .sys, .exe y .dll para evitar que el sistema no pueda arrancar.

A diferencia de iteraciones anteriores, las variantes actualizadas se dirigen exclusivamente a los sistemas israelíes y se abstienen de borrar instantáneas o deshabilitar la pantalla de recuperación de errores del sistema. Sin embargo, ahora eliminan la información de la partición del disco, lo que aumenta el desafío de la recuperación de datos.

Los limpiadores de particiones se centran específicamente en la tabla de particiones del sistema, haciendo que el diseño del disco sea irrecuperable. Esto complica los esfuerzos para restaurar datos y amplifica el alcance del daño infligido. Las víctimas a menudo encuentran una pantalla azul de la muerte (BSOD) o fallas del sistema al reiniciar, ya que estos limpiadores afectan tanto las particiones Master Boot Record (MBR) como GUID Partition Table (GPT).