BiBi Wiper prova ser uma ameaça de malware altamente destrutiva

O limpador BiBi emergiu como uma ameaça formidável, ligada ao Void Manticore, um ator iraniano de ameaças cibernéticas associado ao Ministério de Inteligência e Segurança (MOIS). Este grupo é conhecido por seus ataques destrutivos de limpeza e operações de influência. As suas atividades têm sido particularmente impactantes em Israel e na Albânia, com as suas operações revelando sobreposições significativas com outro grupo, o Scarred Manticore.

Void Manticore: um perfil

Void Manticore, também conhecido como Storm-842, opera sob várias personas, mais notavelmente "Homeland Justice" para ataques na Albânia e "Karma" para operações em Israel. Este grupo emprega uma variedade de métodos, incluindo limpadores personalizados para Windows e Linux, para realizar suas atividades disruptivas.

Colaboração com Scarred Manticore

As operações do Void Manticore frequentemente se cruzam com as do Scarred Manticore (Storm-861), indicando uma transferência sistemática de alvos. Esta colaboração permite que a Void Manticore aproveite o acesso e os recursos do Scarred Manticore, aumentando a eficácia de seus ataques.

Os TTPs do Void Manticore são relativamente simples, geralmente envolvendo exclusão manual de arquivos e movimentos laterais usando o Remote Desktop Protocol (RDP). Suas ferramentas são básicas, em sua maioria disponíveis ao público, e incluem vários shells da web, como o “Karma Shell”.

O limpador BiBi

Uma marca registrada das operações da Void Manticore em Israel é a implantação do limpador BiBi, em homenagem ao primeiro-ministro israelense Benjamin Netanyahu. Este limpador personalizado tem sido amplamente utilizado contra organizações israelenses, com variantes para sistemas Linux e Windows.

Versão Linux

A versão Linux do limpador BiBi, conhecida como bibi-linux.out, corrompe arquivos com dados aleatórios e os renomeia com nomes aleatórios e a extensão “.BiBi”. Evita infectar arquivos essenciais para o sistema operacional manter o processo de limpeza.

Versão do Windows

A variante do Windows, bibi.exe, segue um padrão semelhante, mas inclui recursos adicionais, como exclusão de cópias de sombra e desativação de gatilhos de recuperação de erros. Também evita a destruição de arquivos críticos do sistema, garantindo que o limpador possa operar de maneira eficaz.

Operações de influência: o papel do “Karma”

A persona “Karma” desempenha um papel crucial na estratégia da Void Manticore, particularmente em Israel. Inicialmente percebido como parte de um esforço hacktivista mais amplo, o Karma ganhou destaque por meio de sua associação com o limpador BiBi. Essa persona atingiu com sucesso mais de 40 organizações israelenses, concentrando-se na limpeza, roubo e publicação de dados.

A cooperação entre Void Manticore e Scarred Manticore ilustra um alto grau de coordenação, permitindo que Void Manticore acesse alvos de alto valor e execute suas atividades destrutivas com eficiência. Esta colaboração, combinada com as suas operações de influência, posiciona a Void Manticore como uma ameaça significativa no cenário cibernético iraniano.

Da Albânia ao Médio Oriente

As operações da Void Manticore estendem-se além de Israel, com atividades notáveis na Albânia. O procedimento de transferência observado em ataques contra ambas as nações sugere um processo rotineiro de transição de alvos entre Scarred Manticore e Void Manticore. Este método ficou particularmente evidente nos ataques destrutivos contra a Albânia, onde a Void Manticore utilizou limpadores semelhantes aos usados em Israel.

Conclusão

Void Manticore, por meio de seus ataques destrutivos e do uso estratégico de personas online, estabeleceu-se como um ator de ameaças perigoso e coordenado. A sua colaboração com Scarred Manticore e o uso do limpador BiBi destacam a sua capacidade de infligir danos significativos e influenciar narrativas políticas nas regiões que visam.