BiBi Wischer

Eine neue Variante der Schadsoftware BiBi Wiper wurde dabei beobachtet, wie sie die Partitionstabelle der Festplatte angreift, was die Wiederherstellung von Daten erschwert und die Ausfallzeit für die Opfer verlängert. Angriffe mit BiBi Wiper auf Israel und Albanien wurden auf eine mutmaßliche iranische Hackergruppe namens Void Manticore (Storm-842) zurückgeführt, die vermutlich dem iranischen Ministerium für Nachrichtendienste und Sicherheit (MOIS) angeschlossen ist.

Forscher entdeckten BiBi Wiper erstmals im Oktober 2023, woraufhin Israels CERT im November 2023 eine Warnung vor umfangreichen Cyberangriffen auf kritische Organisationen im Land herausgab. Ein aktueller Bericht enthüllte neuere Versionen des BiBi Wiper sowie zwei weitere benutzerdefinierte Wiper, Cl Wiper und Partition Wiper, die von derselben Bedrohungsgruppe eingesetzt werden.

Cyberkriminelle von Void Manticore verstecken sich möglicherweise hinter falschen Identitäten

Es wird vermutet, dass Void Manticore unter dem Deckmantel der Hacktivismus-Gruppe Karma auf Telegram operiert, die im Zuge des Hamas-Angriffs auf Israel im Oktober entstanden ist. Karma hat die Verantwortung für Angriffe auf mehr als 40 israelische Einrichtungen übernommen und nutzt Telegram, um gesammelte Daten oder Beweise für gelöschte Laufwerke zu präsentieren und so die Wirkung ihrer Aktivitäten zu verstärken. An den albanischen Operationen war eine Person namens Homeland Justice beteiligt, und einige der gestohlenen Dateien wurden auf Telegram geleakt.

Diese Taktik ähnelt stark der Vorgehensweise von Sandworm (APT44), der für die Nutzung hacktivistischer Telegram-Kanäle wie XakNet Team, CyberArmyofRussia_Reborn und Solntsepek bekannt ist.

Eine interessante Enthüllung ist, dass Void Manticore in bestimmten Fällen die Kontrolle über kompromittierte Infrastrukturen an Scarred Manticore zu delegieren scheint. Scarred Manticore ist darauf spezialisiert, sich den ersten Zugriff zu verschaffen, wobei er häufig Schwachstellen wie die Microsoft Sharepoint-Schwachstelle CVE-2019-0604 ausnutzt, SMB-Lateralbewegungen durchführt und E-Mails sammelt. Nach der Infiltration werden diese Organisationen dann an Void Manticore übergeben, um Payloads einzuschleusen, sich weiter lateral innerhalb des Netzwerks zu bewegen und Datenlöschmechanismen einzusetzen.

Der BiBi Wiper entwickelt seine Zerstörungskraft weiter

Für seine zerstörerischen Aktivitäten nutzt Void Manticore eine Reihe von Tools, darunter Web-Shells, Tools zur manuellen Löschung, benutzerdefinierte Wiper und Tools zur Überprüfung von Anmeldeinformationen.

Die neuesten Versionen der Schadsoftware BiBi Wiper manipulieren Nicht-Systemdateien, indem sie diese durch zufällige Daten ersetzen und eine zufällig generierte Erweiterung mit der Kennung „BiBi“ anhängen. BiBi ist sowohl in Linux- als auch in Windows-Varianten verfügbar, die jeweils unterschiedliche Merkmale und Betriebsnuancen aufweisen.

In Linux-Umgebungen initiiert BiBi mehrere Threads entsprechend den verfügbaren CPU-Kernen, um den Löschvorgang zu beschleunigen. Umgekehrt schließt die Windows-Version von BiBi .sys-, .exe- und .dll-Dateien aus, um zu verhindern, dass das System nicht mehr gestartet werden kann.

Im Gegensatz zu früheren Versionen zielen die aktualisierten Varianten ausschließlich auf israelische Systeme ab und verzichten auf das Löschen von Schattenkopien oder das Deaktivieren des Fehlerbehebungsbildschirms des Systems. Allerdings löschen sie jetzt Partitionsinformationen von der Festplatte, was die Datenwiederherstellung schwieriger macht.

Die Partition Wipers konzentrieren sich speziell auf die Partitionstabelle des Systems und machen das Festplattenlayout unwiederbringlich. Dies erschwert die Wiederherstellung von Daten und vergrößert das Ausmaß des verursachten Schadens. Opfer erleben beim Neustart häufig einen Blue Screen of Death (BSOD) oder Systemabstürze, da diese Wipers sowohl die Master Boot Record (MBR)-Partitionen als auch die GUID Partition Table (GPT)-Partitionen betreffen.