גל של מתקפות חדשות העושות שימוש בנוזקת BiBi זוהה בימים האחרונים בישראל. מדובר בארבעה ואריאנטים חדשים של הנוזקה שאינם מזוהים ונתפסים על-ידי מנועי אנטי וירוס, לפי פלטפורמת VirusTotal.
נוזקת ביבי היא נוזקה מסוג Wiper שנועדה למחוק ולהשחית נתונים במערכות המותקפות. בניגוד לסוגים אחרים של נוזקות, שמטרתן לגנוב או לרגל אחר נתונים, נוזקות מסוג Wiper נוצרות במיוחד כדי לגרום נזק, וקשה מאוד לשחזר את הנתונים שנפגעו בעיקבות התקיפה.
נוזקת BiBi פותחה על ידי קבוצת האקרים המזוהים כפרו-חמאס עם פתיחת המלחמה באוקטובר, מתוך כוונה להביע תמיכה עם ארגון חמאס, והתקיפות התמקדו בחברות ישראליות במטרה לגרום להן לנזק רב ככל האפשר על-ידי מחיקת והשחתת נתוני קבצים ומידע ושיבוש מערכות הפעלה של חברות ישראליות ללא בקשת כופר. על הגילוי הראשון שכוון למערכות לינוקס כבר בתחילת המלחמה חתומה חברת הסייבר סקיוריטי ג'ו. בהמשך, פותחה גרסה של הנוזקה גם למערכות Windows.
דרך הפעולה של הנוזקה היא מעבר בין קבצים במערכת והשחתה שלהם, כשבסיומו של התהליך בכל קובץ שהושחת על-ידי הנוזקה, הופכת הסיומת של הקובץ ל- BiBi. בנוסף לכך, הנוזקה מוחקת את כל ה-Shadow Copies, משנה את המדיניות ב-boot של מערכת הקורבן ולבסוף משביתה את האפשרויות לשחזור אוטומטי. טכניקות אלה שבהם השתמשו התוקפים מונעות מהקורבן לבצע שחזורי מערכת ולצמצם את היכולת לשחזר קבצים, מידע, שרתים רגישים.
כעת מתברר שקבוצת ההאקרים עדיין פעילה והיא ממשיכה לייצר גרסאות חדשות של הנוזקה. על הגילוי האחרון חתומה חברת סימנטק.
לדברי עידן מליחי, חוקר אבטחה בחברת הסייבר CyFox, המתמחה באספקת פתרונות אבטחת מידע מבוססי בינה מלאכותית, "על רקע התמשכות המלחמה, הנוזקות החדשות שהתגלו, מכוונות לארגונים ישראלים קטנים עד גדולים, מתוך כוונה להרוס את מירב המידע והתוכן שיש בתשתיות החברה”. נכון לעכשיו, הוא אומר, טרם התגלו שמות של ארגונים אשר נתקפו על-ידי הוריאנטים החדשים של BiBi Wiper, אבל זה לא אומר שאין חברות כאלו.
מליחי, שניתח את הגילוי הראשון של הנוזקה מבוססת Windows, ממליץ "להשתמש בתוכנות אבטחה מעודכנות ולהפעיל מנגנוני אבטחה מתקדמים ככל הניתן על מנת להגן על מערכות המידע מפני תוכנות זדוניות".
