לא התגעגענו: התגלו גרסאות חדשות של הנוזקה ביבי
נוזקת המגב פותחה בתחילת המלחמה ע"י האקרים תומכי חמאס, וסימנטק גילתה גרסאות חדשות שלה ● עידן מליחי, CyFox: "הנוזקה מכוונת לארגונים ישראלים בכל גודל, כדי להרוס את מירב המידע והתוכן שיש בתשתיות שלהם"
התגלו גרסאות חדשות של נוזקת המגב (מוחק נתונים) BiBi Wiper. גל של מתקפות חדשות שמשתמשות בנוזקת ביבי זוהה בימים האחרונים בישראל. מדובר בארבע גרסאות חדשות שלה, שלפי וירוס טוטאל לא מזוהות על ידי מנועי אנטי וירוס.
ביבי היא נוזקה שנועדה למחוק ולהשחית נתונים במערכות המותקפות. בניגוד לסוגים אחרים של נוזקות, שמטרתן לגנוב או לרגל אחרי נתונים, נוזקות מגב נוצרות במיוחד כדי לגרום נזק, וקשה מאוד לשחזר את הנתונים שנפגעו בעקבות התקיפות שלהן.
נוזקת ביבי פותחה עם פתיחת המלחמה באוקטובר, על ידי קבוצת האקרים המזוהים כאוהדי ותומכי החמאס – מתוך כוונה להביע תמיכה בארגון הטרור. התקיפות שהם ביצעו התמקדו בחברות ישראליות, במטרה לגרום להן לנזק רב ככל האפשר, על ידי מחיקת והשחתת נתוני קבצים ומידע, ושיבוש מערכות ההפעלה שלהן. התוקפים לא דרשו תשלום של דמי כופר. את הגילוי הראשון, שכוון למערכות לינוקס, זיהו חוקרי סקיוריטי ג'ו כבר בתחילת המלחמה. בהמשך פותחה גרסה של הנוזקה גם למערכות Windows.
כיצד ביבי פועלת?
דרך הפעולה של נוזקת ביבי היא מעבר בין קבצים במערכת והשחתה שלהם, כשבסיומו של התהליך, בכל קובץ שהושחת על ידה הופכת הסיומת של שמו ל-BiBi. בנוסף, הנוזקה מוחקת את כל ה-Shadow Copies, משנה את המדיניות בבוט (Boot) של מערכת הקורבן ולבסוף משביתה את האפשרויות לשחזור אוטומטי. טכניקות אלה, שבהן השתמשו התוקפים, מונעות מהקורבנות לבצע שחזורי מערכת ומצמצמות את יכולתם לשחזר קבצים, מידע ושרתים רגישים.
כעת, כאמור, מתברר שקבוצת ההאקרים עדיין פעילה, והיא ממשיכה לייצר גרסאות חדשות של הנוזקה – גילוי שעליו חתומה סימנטק.
"טרם התגלו ארגונים שהותקפו בנוזקה החדשה, אבל זה לא אומר שאין כאלה"
לדברי עידן מליחי, חוקר אבטחה ב-CyFox, שמתמחה בפתרונות אבטחה מבוססי בינה מלאכותית, "על רקע התמשכות המלחמה, הנוזקות החדשות שהתגלו מכוונות לארגונים ישראלים קטנים עד גדולים, מתוך כוונה להרוס את מירב המידע והתוכן שיש בתשתיות שלהם". לדבריו, "נכון לעכשיו, טרם התגלו שמות של ארגונים שהותקפו בגרסאות החדשות של BiBi Wiper, אבל זה לא אומר שאין כאלה".
עידן מליחי, חוקר אבטחה ב-CyFox. צילום: יח"צ
מליחי, שניתח את הגילוי הראשון של הגרסה מבוססת ה-Windows של הנוזקה, ממליץ "להשתמש בתוכנות אבטחה מעודכנות ולהפעיל מנגנוני אבטחה מתקדמים ככל הניתן על מנת להגן על מערכות המידע מפני נוזקות".
קיומה של נוזקת ביבי צוין גם במחקר שפורסם באחרונה של חוקרי קבוצת ניתוח האיומים של גוגל בשיתוף חוקרי מנדיאנט מבית גוגל ו-Trust & Safety. במחקר זה צוין שכאשר המתקפות הצליחו, ההאקרים שינו את שמות המערכות שנפגעו ל-NO2BIBI, ואף שלחו הוראות למדפסות להדפיס כיתוב זה. עם נוזקה זו, ההאקרים פרצו, או ניסו לפרוץ, לחברות ישראליות ברחבי הארץ, בניסיון לפגוע בתשתית של חברות הקורבן. ביבי, הכינוי הנפוץ של ראש הממשלה, בנימין נתניהו, היה מקודד בקוד בתוך הנוזקה, כמו גם בכל קובץ שנהרס.
תגובות
(0)