BiBi-Windows : une nouvelle menace dans les cyberattaques pro-Hamas

Baptisé BiBi-Windows Wiper par BlackBerry, le wiper est le pendant Windows de BiBi-Linux Wiper, qui a été utilisé par un groupe d’hacktivistes pro-Hamas à la suite de la guerre entre Israël et le Hamas le mois dernier.

« La variante Windows […] confirme que les acteurs de la menace qui ont créé le wiper continuent à développer le logiciel malveillant, et indique une expansion de l’attaque pour cibler les machines des utilisateurs finaux et les serveurs d’application », a déclaré la société canadienne vendredi.

La société slovaque de cybersécurité traque l’acteur à l’origine du wiper sous le nom de BiBiGun, et note que la variante Windows (bibi.exe) est conçue pour écraser les données du répertoire C:\Users de manière récursive avec des données indésirables et ajoute .BiBi au nom du fichier.

L’artefact BiBi-Windows Wiper aurait été compilé le 21 octobre 2023, deux semaines après le début de la guerre. La méthode exacte par laquelle il est distribué est actuellement inconnue. En plus de corrompre tous les fichiers portant les extensions .exe, .dll et .sys, il supprime les copies d’ombre du système, ce qui empêche les victimes de récupérer leurs fichiers. Une autre similitude notable avec sa variante Linux est sa capacité multithreading. « Pour une destruction aussi rapide que possible, le logiciel malveillant exécute 12 threads avec huit cœurs de processeur », a déclaré Dmitry Bestuzhev, directeur principal des renseignements sur les cybermenaces chez BlackBerry. On ne sait pas encore si wiper a été déployé dans des attaques réelles et, le cas échéant, qui sont les cibles. Ce développement intervient alors que Security Joes – qui a été le premier à documenter BiBi-Linux Wiper – a déclaré que le logiciel malveillant fait partie d’une « campagne plus large visant les entreprises israéliennes avec l’intention délibérée de perturber leurs opérations quotidiennes en détruisant des données ». La société de cybersécurité a déclaré avoir identifié des chevauchements tactiques entre le groupe d’hacktivistes – qui se fait appeler Karma – et un autre acteur aux motivations géopolitiques dont le nom de code est Moses Staff (alias Cobalt Sapling), soupçonné d’être d’origine iranienne : « Bien que la campagne se soit principalement concentrée sur les secteurs israéliens de l’informatique et du gouvernement jusqu’à présent, certains des groupes participants, tels que Moses Staff, ont l’habitude de cibler simultanément des organisations dans divers secteurs d’activité et lieux géographiques », a déclaré Security Joes.