Gli esperti di sicurezza informatica hanno messo in guardia riguardo a una versione di un malware “wiper”, questa volta per Windows, chiamato Bibi-Windows Wiper che precedentemente era stato osservato mirare a sistemi Linux in attacchi informatici diretti verso Israele.
Da dove viene Bibi-Windows Wiper e da chi è stato creato
Chiamato BiBi-Windows Wiper da BlackBerry, il wiper rappresenta il corrispettivo per Windows di BiBi-Linux Wiper, che era stato utilizzato da un gruppo di hacktivisti filo-Hamas in seguito alla guerra tra Israele e Hamas del mese scorso.
“L’edizione per Windows […] conferma che i malintenzionati che hanno creato il wiper stanno continuando a sviluppare il malware e indica un ampliamento dell’attacco per mirare alle macchine degli utenti finali e ai server delle applicazioni“, ha dichiarato l’azienda canadese venerdì scorso.
Eset, la nota società slovacca di sicurezza informatica ha seguito le tracce di chi sta dietro la variante di wiper con il nome BiBiGun, e ha notato che la variante per Windows (bibi.exe) è progettata per sovrascrivere dati nella directory C:\Users in modo ricorsivo con dati non validi e aggiunge .BiBi al nome del file.
Si ritiene che l’oggetto BiBi-Windows Wiper sia stato compilato il 21 ottobre 2023, due settimane dopo l’inizio della guerra; al momento non è noto il metodo preciso di distribuzione del malware.
Oltre a corrompere tutti i file ad eccezione di quelli con estensioni .exe, .dll e .sys, il wiper cancella le copie delle ombre dal sistema, impedendo efficacemente alle vittime di recuperare i loro file.
Un’altra somiglianza degna di nota con la sua controparte per Linux è la sua capacità di multithreading, ossia il supporto hardware da parte di un processore di eseguire più thread, ovvero una suddivisione di un processo in due o più filoni (istanze) o sottoprocessi che vengono eseguiti concorrentemente da un sistema di elaborazione (computer, smartphone, etc.), per farla breve.
“Per la distruzione più rapida possibile, il malware esegue 12 thread con otto core del processore“, ha dichiarato Dmitry Bestuzhev, direttore senior dell’intelligence sulle minacce cibernetiche presso BlackBerry.
Non è chiaro se in un primo momento il wiper sia stato utilizzato in attacchi reali e, in tal caso, chi siano i bersagli.
Questa scoperta giunge dopo che Security Joes, che per primo ha documentato BiBi-Linux Wiper, ha dichiarato che il malware fa parte di una “campagna più ampia che mira alle aziende israeliane con l’intento deliberato di disturbare le loro operazioni quotidiane attraverso la distruzione dei dati.”
La società di sicurezza informatica ha affermato di aver identificato sovrapposizioni tattiche tra il gruppo di hacktivisti, che si fa chiamare Karma, e un altro criminale informatico con motivazioni geopolitiche denominato Moses Staff (alias Cobalt Sapling), sospettato di avere origini iraniane.
“Sebbene la campagna si sia centrata principalmente sui settori IT e governativi israeliani fino a questo punto, alcuni dei gruppi partecipanti, come Moses Staff, hanno una storia di mirare contemporaneamente a organizzazioni in vari settori aziendali e posizioni geografiche diverse“, ha dichiarato Security Joes.
Conclusione
La scoperta di Bibi-Windows Wiper evidenzia l’evoluzione delle minacce informatiche e l’adattamento continuo dei cibercriminali e il fatto che un malware wiper precedentemente osservato in attacchi mirati a sistemi Linux sia ora disponibile per Windows dimostra come i malware (tramite la mano umana) possano “evolversi”.
È importante per le organizzazioni e gli utenti finali mantenere misure di sicurezza informatica solide e rimanere vigili contro queste minacce in costante evoluzione; la cooperazione tra le società di sicurezza informatica e le agenzie di sicurezza è essenziale per affrontare efficacemente tali minacce e proteggere l’infrastruttura digitale.
