Cyberthreat.id - Peneliti keamanan siber telah memperingatkan tentang malware wiper versi Windows yang sebelumnya diamati menargetkan sistem Linux dalam serangan siber yang ditujukan ke Israel.

Dijuluki BiBi-Windows Wiper oleh BlackBerry, wiper ini merupakan versi Windows dari BiBi-Linux Wiper, yang telah digunakan oleh kelompok hacktivist pro-Hamas setelah perang Israel-Hamas bulan lalu.

“Varian Windows [...] menegaskan bahwa pelaku ancaman yang menciptakan wiper terus mengembangkan malware, dan mengindikasikan perluasan serangan untuk menargetkan mesin pengguna akhir dan server aplikasi,” kata perusahaan asal Kanada tersebut sebagaimana dikutip The Hacker News.

Perusahaan keamanan siber Slovakia melacak aktor di balik wiper dengan nama BiBiGun, mencatat bahwa varian Windows (bibi.exe) dirancang untuk menimpa data di direktori C:\Users secara rekursif dengan data sampah dan menambahkan .BiBi ke nama file.

Artefak BiBi-Windows Wiper konon dikompilasi pada 21 Oktober 2023, dua minggu setelah dimulainya perang. Metode pasti pendistribusiannya saat ini tidak diketahui.

Selain merusak semua file kecuali yang berekstensi .exe, .dll, dan .sys, wiper juga menghapus salinan bayangan dari sistem, sehingga secara efektif mencegah korban memulihkan file mereka.

Kesamaan penting lainnya dengan varian Linux adalah kemampuan multithreadingnya.

“Untuk tindakan penghancuran secepat mungkin, malware ini menjalankan 12 thread dengan delapan inti prosesor,” kata Dmitry Bestuzhev, direktur senior intelijen ancaman siber di BlackBerry.

Belum jelas apakah wiper tersebut telah digunakan dalam serangan di dunia nyata, dan jika memang demikian, siapa targetnya.

Perkembangan ini terjadi ketika Security Joes, yang pertama kali mendokumentasikan BiBi-Linux Wiper, mengatakan bahwa malware tersebut adalah bagian dari “kampanye yang lebih besar yang menargetkan perusahaan-perusahaan Israel dengan tujuan yang disengaja untuk mengganggu operasi sehari-hari mereka dengan menggunakan penghancuran data.”

Perusahaan keamanan siber tersebut mengatakan bahwa mereka mengidentifikasi tumpang tindih taktis antara kelompok hacktivist, yang menyebut diri mereka Karma, dan aktor lain yang bermotivasi geopolitik dengan nama sandi Moses Staff (alias Cobalt Sapling), yang diduga berasal dari Iran.

“Meskipun kampanye ini terutama berpusat pada sektor TI dan pemerintahan Israel hingga saat ini, beberapa kelompok yang berpartisipasi, seperti Staf Moses, memiliki sejarah yang secara bersamaan menargetkan organisasi-organisasi di berbagai sektor bisnis dan lokasi geografis,” kata Security Joes.[]