Les chercheurs en cybersécurité ont mis en garde contre une version Windows d’un malware wiper qui avait déjà été observé ciblant les systèmes Linux lors de cyberattaques visant Israël.
Doublé Essuie-glace BiBi-Windows par BlackBerry, le wiper est l’équivalent Windows de BiBi-Linux Wiper, qui a été utilisé par un groupe hacktiviste pro-Hamas à la suite de la guerre entre Israël et le Hamas le mois dernier.
« La variante Windows […] » confirme que les auteurs de la menace qui ont créé le wiper continuent de développer le malware et indique une extension de l’attaque pour cibler les machines des utilisateurs finaux et les serveurs d’applications », a déclaré la société canadienne. dit Vendredi.
La société slovaque de cybersécurité est suivi l’acteur derrière l’essuie-glace sous le nom de BiBiGun, notant que la variante Windows (bibi.exe) est conçue pour écraser récursivement les données du répertoire C:Users avec des données indésirables et ajoute .BiBi au nom de fichier.
L’artefact BiBi-Windows Wiper aurait été compilé le 21 octobre 2023, soit deux semaines après le début de la guerre. La méthode exacte par laquelle il est distribué est actuellement inconnue.
En plus de corrompre tous les fichiers à l’exception de ceux portant les extensions .exe, .dll et .sys, l’essuie-glace supprime les clichés instantanés du système, empêchant ainsi les victimes de récupérer leurs fichiers.
Une autre similitude notable avec sa variante Linux est sa capacité multithreading.
« Pour une action de destruction la plus rapide possible, le malware exécute 12 threads avec huit cœurs de processeur », a déclaré Dmitry Bestuzhev, directeur principal du renseignement sur les cybermenaces chez BlackBerry. dit.
Il n’est pas immédiatement clair si l’essuie-glace a été déployé lors d’attaques réelles et, si oui, quelles en sont les cibles.
Le développement intervient alors que Security Joes, qui a documenté pour la première fois BiBi-Linux Wiper, dit le malware fait partie d’une « campagne plus large ciblant les entreprises israéliennes avec l’intention délibérée de perturber leurs opérations quotidiennes en détruisant les données ».
La société de cybersécurité a déclaré avoir identifié des chevauchements tactiques entre le groupe hacktiviste, qui se fait appeler Karma, et un autre acteur à motivation géopolitique, nommé Moses Staff (alias Cobalt Sapling), soupçonné d’être d’origine iranienne.
« Bien que la campagne se soit jusqu’à présent principalement concentrée sur les secteurs informatiques et gouvernementaux israéliens, certains des groupes participants, tels que Moses Staff, ont l’habitude de cibler simultanément des organisations dans divers secteurs d’activité et emplacements géographiques », a déclaré Security Joes.