Вайпер BiBi теперь атакует Windows: Израильские организации первыми ощутят всю его мощь

Разрушительный вирус-вайпер BiBi Wiper, ранее замеченный только на Linux, теперь появился в версии для Windows и успешно применяется в кибератаках, нацеленных на израильские организации. Об этом сообщают специалисты кибербезопасности из компании BlackBerry.

Вайпер «BiBi-Windows», как его окрестили исследователи, является полным аналогом вируса «BiBi-Linux», который использовала одна из пропалестинских хакерских группировок после начала военного конфликта Израиля и ХАМАС в прошлом месяце.

«Появление версии для Windows подтверждает, что создатели вируса продолжают развивать своё вредоносное ПО. Это указывает на расширение атак на конечные пользовательские машины и серверы приложений», — заявила канадская компания 10 ноября.

ESET, другая известная компания в сфере кибербезопасности, отслеживает злоумышленников , распространяющих данный вайпер, под именем BiBiGun. Эксперты компании отмечают, что версия вредоноса для Windows («bibi.exe») предназначена для рекурсивной перезаписи данных в каталоге «C:\Users\» мусорными данными с добавлением расширения «.BiBi» к имени файлов.

Примечательно, что рассмотренный исследователями экземпляр BiBi-Windows был скомпилирован 21 октября 2023 года, ещё до того, как исследователям стало известно о Linux-версии вредоноса. В то же время, точный метод распространения вайпера до сих пор остаётся неизвестным.

Помимо повреждения всех файлов, за исключением тех, которые имеют расширения «.exe», «.dll» и «.sys», вирус удаляет резервные копии системы, эффективно лишая жертв возможности восстановить свои файлы.

Ещё одно сходство BiBi-Windows с его Linux-версией — это возможность многопоточной работы. «Для максимально быстрого и разрушительного действия вирус запускает 12 потоков на 8 ядрах процессора», — сказал Дмитрий Бестужев, старший директор по киберразведке в BlackBerry.

Пока неясно, применялся ли этот вирус в реальных атаках, и если да, то против кого он был направлен.

Специалисты из компании Security Joes, которые первыми задокументировали BiBi-Linux, считают данные вредоносы лишь частью более масштабной зловредной операции, нацеленной на израильские компании с умышленным намерением нарушить их повседневную деятельность при помощи уничтожения данных.

Исследователи Security Joes также заявили, что обнаружили тактические пересечения между BiBiGun и группировкой, которая называет себя Karma, а также геополитически мотивированной группой под кодовым именем Moses Staff (также известна как Cobalt Sapling), которая, как считается, имеет иранское происхождение.

«Хотя кампания до сих пор была сосредоточена в основном на израильских IT и госсекторах, некоторые из участвующих групп, такие как Moses Staff, имеют историю одновременных атак на организации в разных отраслях бизнеса и географических регионах», — заявили в Security Joes.