Вайпер BiBi-Linux безвозвратно уничтожает данные израильских организаций

[Artifact]

Последствия атаки включают терабайты стёртых данных и сотни повреждённых устройств.
Специалисты команды реагирования на инциденты Security Joes обнаружили новый вредоносный код, нацеленный на системы Linux в структурах израильских организаций. Зловред, получивший название «BiBi-Linux», используется для полного уничтожения данных в рамках деструктивных атак. Эксперты выявили вредонос в ходе расследования нарушения безопасности сети одной из израильских компаний.
Отличительной чертой данного вируса-вымогателя является отсутствие требований выкупа или контактной информации для связи с хакерами, несмотря на имитацию процесса шифрования файлов. Вредонос просто уничтожает все данные без возможности восстановления. Порча файлов происходит путём их перезаписи бесполезными данными, в результате чего повреждаются как сами данные, так и операционная система.
Найденный в системах жертвы исполняемый файл («bibi-linux.out») предоставляет атакующим возможность выбирать целевые папки для атаки через параметры командной строки.
При запуске с правами администратора вирус способен полностью уничтожить операционную систему устройства, если атакующие не зададут конкретный путь, так как в противном случае вредонос попытается удалить корневой каталог «/» целиком.
BiBi-Linux работает в несколько потоков и использует систему очередей для повышения скорости и эффективности, перезаписывая содержимое файлов для их уничтожения, переименовывая их и добавляя расширение, состоящее из строки «BiBi» и определённого цифрового значения. Как заметили исследователи, значение обозначает количество проходов стирания файла.
Обнаруженный специалистами экземпляр вируса не содержит обфускации, пакинга или других мер защиты, что значительно упрощает работу аналитиков. Это свидетельствует о том, что злоумышленникам не важно, будет ли их инструментарий перехвачен и проанализирован — их главная цель, по всей видимости, максимизация воздействия атаки.
Вирусы-вайперы представляют серьёзную угрозу для критической инфраструктуры и часто используются в кибервойне для нанесения максимального ущерба противнику.
Как показывает случай с BiBi-Linux, подобные вирусы способны полностью уничтожать данные без возможности восстановления. Чтобы противодействовать им, организациям следует внедрять комплексные меры безопасности, включающие обнаружение и предотвращение вторжений, регулярное резервное копирование и проверку восстановления данных, обучение сотрудников основам кибербезопасности, системы контроля целостности файлов и политику разделения привилегий для ограничения доступа пользователей.
Только сочетание технических и организационных мер может минимизировать ущерб от вирусов-вайперов в рамках комплексного подхода к защите от целенаправленных атак.