Ataques de destruição de dados estão se tornando mais frequentes em computadores israelenses, com a descoberta de variantes do malware BiBi, que destroem dados em sistemas Linux e Windows.
Durante o fim de semana, o CERT de Israel emitiu um alerta com regras que podem ajudar organizações a identificar ou prevenir a atividade dos atores de ameaças. Os ataques fazem parte de uma ofensiva cibernética maior que visa organizações israelenses, incluindo os setores de educação e tecnologia.
A agência recomenda que as organizações usem os identificadores fornecidos para todos os sistemas de segurança corporativa, como SIEM, EDR e antivírus. O governo também pede que as empresas informem o sistema cibernético nacional se encontrarem um ou mais identificadores nos hosts corporativos.
O malware atinge seu objetivo simplesmente sobrescrevendo arquivos, sem exfiltração de dados, criptografia ou demanda de resgate. Ele é embalado em um executável de 64 bits de 203KB. Quando lançado, perfila o processador do host para determinar o número de threads que pode aproveitar para ataques rápidos de destruição de dados.
Para evitar a fácil restauração do sistema, o malware também exclui as cópias de sombra que contêm instantâneos do sistema de um estado anterior e são frequentemente usadas para recuperar dados e configurações.
Além disso, o BiBi desativa o modo de ‘Recuperação de Erros’ na inicialização do sistema e desativa o recurso ‘Recuperação do Windows’.