BiBi-Linux : Un malware utilisé pour détruire les données d’organisations israéliennes

Violence

BiBi-Linux, c’est le nom d’un nouveau malware de type “wiper” qui est utilisé pour détruire les données présentes sur des machines Linux appartenant à des organisations israéliennes. Faisons le point sur cette menace.

Le malware BiBi-Linux a été découvert par l’équipe de réponses aux incidents de Security Joes au cours d’une enquête suite à un incident de sécurité subie par une organisation israélienne. Lorsqu’il infecte une machine, BiBi-Linux ne laisse aucune note de rançon ou aucune autre information pour contacter les cybercriminels. Il est là dans un seul but : détruire les données et faire mal à sa cible.

Dans le rapport mis en ligne par Security Joes, nous pouvons lire :

Cette nouvelle menace n’établit pas de communication avec des serveurs de commandement et de contrôle (C2) distants pour l’exfiltration de données, n’utilise pas d’algorithmes de chiffrement réversibles et ne laisse pas de notes de rançon pour contraindre les victimes à effectuer des paiements.

A la place, il corrompt les données et le système d’exploitation. En effet, s’il s’exécute en tant que root il peut saboter le système Linux puisqu’il cherchera à détruire les données en partant de la racine /. Chaque fichier se retrouve avec l’extension .BiBi suivi d’un nombre.

L’objectif premier du logiciel malveillant est de rendre les fichiers inutilisables, en écrasant leur contenu. Au lieu de chiffrer les données, il remplace tout le contenu des fichiers affectés par une mémoire tampon de données aléatoires de la même longueur que le fichier ciblé.
Security Joes.

Sur une machine Linux, ce malware se présente sous la forme d’un exécutable ELF nommé “bibi-linux.out”, codé en C/C++. Sur le site VirusTotal, nous pouvons voir que la majorité des solutions de sécurité ne détectent pas le malware BiBi-Linux (bien que la situation évolue au fil des heures).

Ce wiper est probablement utilisé par un groupe d’hacktiviste pro-Hamas et le nom BiBi-Linux donné à ce malware n’est surement pas choisi au hasard. En effet, le Premier ministre israélien, Benjamin Netanyahu, est surnommé “Bibi” par ses partisans. Au début du conflit entre la Russie et l’Ukraine, il y avait eu des opérations similaires à l’aide de malwares nettoyeurs de données, dont CaddyWiper.

– Sources

https://www.bleepingcomputer.com/news/security/new-bibi-linux-wiper-malware-targets-israeli-orgs-in-destructive-attacks/

https://www.it-connect.fr/le-malware-bibi-linux-utilise-pour-detruire-les-donnees-dorganisations-israeliennes/

–> Une belle merde ce truc

Psyckofox

Baby Mario, Baby Luigi, Bibi Linux

Violence

Pas mal, pas mal