Essuie-glace BiBi

Une nouvelle variante du malware BiBi Wiper a été observée ciblant la table de partition du disque, compliquant la restauration des données et prolongeant les temps d'arrêt pour ses victimes. Les attaques utilisant BiBi Wiper contre Israël et l'Albanie ont été attribuées à un groupe de piratage iranien présumé connu sous le nom de Void Manticore (Storm-842), qui serait affilié au ministère iranien du renseignement et de la sécurité (Vevak).

Les chercheurs ont identifié BiBi Wiper pour la première fois en octobre 2023, ce qui a conduit le CERT israélien à émettre un avertissement en novembre 2023 concernant de vastes cyberattaques contre des organisations critiques dans le pays. Un rapport récent a révélé des versions plus récentes de BiBi Wiper ainsi que deux autres essuie-glaces personnalisés, Cl Wiper et Partition Wiper, utilisés par le même groupe de menaces.

Les cybercriminels de Void Manticore pourraient se cacher derrière de fausses personnalités

On soupçonne que Void Manticore opère sous le couvert du groupe d'hacktivisme Karma sur Telegram, apparu à la suite de l'attaque du Hamas contre Israël en octobre. Karma a assumé la responsabilité d'attaques contre plus de 40 entités israéliennes, utilisant Telegram pour présenter des données collectées ou des preuves de disques effacés, amplifiant ainsi l'impact de leurs activités. Les opérations albanaises impliquaient un personnage connu sous le nom de Homeland Justice, et certains des fichiers volés ont été divulgués sur Telegram.

Cette tactique reflète étroitement le modus operandi de Sandworm (APT44), connu pour utiliser des chaînes Telegram à thème hacktiviste telles que l'équipe XakNet, CyberArmyofRussia_Reborn et Solntsepek.

Une révélation intrigante est que Void Manticore semble déléguer le contrôle des infrastructures compromises à Scarred Manticore dans certains cas. Le Scarred Manticore se spécialise dans l'établissement d'un accès initial, exploitant souvent des vulnérabilités telles que la faille Microsoft Sharepoint CVE-2019-0604, effectuant des mouvements latéraux SMB et récoltant des e-mails. Une fois infiltrées, ces organisations sont ensuite transmises à Void Manticore pour l'injection de charges utiles, d'autres mouvements latéraux au sein du réseau et le déploiement de mécanismes d'effacement des données.

L'essuie-glace BiBi continue d'évoluer ses capacités destructrices

The Void Manticore utilise une gamme d'outils pour ses activités destructrices, notamment des shells Web, des outils de suppression manuelle, des effaceurs personnalisés et des outils de vérification des informations d'identification.

Les dernières itérations du malware BiBi Wiper altèrent les fichiers non système en les remplaçant par des données aléatoires et en ajoutant une extension générée aléatoirement contenant l'identifiant « BiBi ». BiBi se manifeste dans les variantes Linux et Windows, chacune avec des caractéristiques et des nuances opérationnelles distinctes.

Dans les environnements Linux, BiBi lance plusieurs threads correspondant aux cœurs de processeur disponibles pour accélérer le processus d'effacement. À l'inverse, la version Windows de BiBi exclut les fichiers .sys, .exe et .dll pour éviter de rendre le système impossible à démarrer.

Contrairement aux itérations précédentes, les variantes mises à jour ciblent exclusivement les systèmes israéliens et s'abstiennent d'effacer les clichés instantanés ou de désactiver l'écran de récupération d'erreur du système. Cependant, ils éliminent désormais les informations de partition du disque, ce qui augmente le défi de la récupération des données.

Les Partition Wipers se concentrent spécifiquement sur la table de partition du système, rendant la configuration du disque irrécupérable. Cela complique les efforts de restauration des données et amplifie l’étendue des dommages infligés. Les victimes rencontrent souvent un écran bleu de la mort (BSOD) ou des pannes du système au redémarrage, car ces essuie-glaces affectent à la fois les partitions Master Boot Record (MBR) et GUID Partition Table (GPT).