Ransomware Big Head
Els investigadors de seguretat han identificat una nova i emergent varietat de ransomware anomenada "Big Head" que ha suscitat preocupacions pel seu potencial d'infligir danys substancials un cop estigui completament operatiu. S'han analitzat diverses versions diferents de Big Head, revelant la seva naturalesa diversa i polièdrica, que planteja reptes importants per als futurs esforços de mitigació.
Els desenvolupadors darrere de Big Head mostren un cert nivell d'experiència, tot i que potser no es consideren actors d'amenaça molt sofisticats. La seva capacitat d'incorporar diverses funcionalitats dins del programari maliciós, com ara lladres, infectadors i mostres de ransomware, és especialment alarmant. Aquest enfocament polifacètic atorga al programari maliciós la capacitat de causar danys significatius quan arriba a la seva plena capacitat operativa. La defensa contra Big Head es fa més difícil a causa de la necessitat d'abordar cada vector d'atac per separat.
Atesa la naturalesa complexa de Big Head i el seu potencial per evolucionar encara més, els experts en seguretat estan preocupats per les implicacions i l'impacte que pot tenir en els sistemes dirigits. El disseny multifuncional del programari maliciós requereix que les organitzacions i els professionals de la seguretat adoptin un enfocament integral de la defensa, centrant-se en múltiples aspectes i vulnerabilitats simultàniament.
Els atacants utilitzen anuncis falsos de Microsoft com a esquers
S'ha observat que el Big Head Ransomware es distribueix a través de publicitats malintencionades, que són anuncis corruptes disfressats d'actualitzacions falses de Windows o instal·ladors de Word.
Després de la infecció, Big Head presenta una interfície d'usuari enganyosa que imita un procés legítim d'actualització de Windows, fent-li creure a les víctimes que l'activitat maliciosa és una actualització de programari genuïna.
En una instància d'anàlisi de Big Head, es van descobrir tres binaris, cadascun amb funcions diferents al sistema objectiu. Aquestes funcions incloïen el xifratge de fitxers, el desplegament d'un bot de Telegram que interaccionava amb l'identificador de xat de l'actor de l'amenaça, la visualització de la interfície d'usuari falsa d'actualització de Windows i la instal·lació de notes de rescat com a fitxers Read Me i fons de pantalla.
L'executable responsable del bot de Telegram, anomenat teleratserver.exe, era un binari compilat per Python de 64 bits. Aquest executable accepta ordres com ara "inici", "ajuda", "captura de pantalla" i "missatge" per establir la comunicació entre la víctima i l'actor de l'amenaça mitjançant l'aplicació de missatgeria.
S'han descobert les versions de Big Head Ransomware amb funcionalitat ampliada
En un altre cas, una segona mostra del ransomware Big Head va demostrar capacitats addicionals per robar dades. Incorporava el programari maliciós WorldWind Stealer, que facilitava la recollida de diversos tipus d'informació. Això incloïa l'historial de navegació de tots els navegadors web disponibles, llistes de directoris i processos en execució al sistema infectat, una rèplica dels controladors i una captura de pantalla de la pantalla capturada després d'executar el programari maliciós.
A més, una tercera mostra del ransomware Big Head portava Neshta , un programari maliciós dissenyat per distribuir virus mitjançant la injecció de codi maliciós als fitxers executables. Els investigadors van destacar que la integració de Neshta al desplegament de ransomware serveix com a tècnica de camuflatge per a la càrrega útil final de Big Head Ransomware. En fer-ho, el programari maliciós pot emmascarar la seva veritable naturalesa i aparèixer com un tipus d'amenaça diferent, com ara un virus. Aquesta tàctica pretén desviar l'atenció i prioritzar les solucions de seguretat que se centren principalment en la detecció de programari ransom.
La inclusió d'aquestes funcionalitats addicionals i la utilització de tècniques de camuflatge demostren la complexitat i la sofisticació en evolució del ransomware Big Head. Mitjançant la incorporació de capacitats de robatori de dades i aprofitant altres components de programari maliciós, Big Head intenta recollir informació valuosa, dissimular la seva veritable intenció i, potencialment, eludir les mesures de seguretat que tenen com a objectiu principalment el ransomware.
