Big Head Ransomware

Bezpečnostní výzkumníci identifikovali nový a vznikající kmen ransomwaru nazvaný „Big Head“, který vyvolal obavy kvůli jeho potenciálu způsobit značné škody, jakmile bude plně funkční. Bylo analyzováno několik různých verzí Big Head, které odhalily jeho různorodou a mnohostrannou povahu, která představuje významné výzvy pro budoucí úsilí o zmírnění.

Vývojáři stojící za Big Head vykazují určitou úroveň zkušeností, i když je nelze považovat za vysoce sofistikované aktéry hrozeb. Zvláště alarmující je jejich schopnost začlenit různé funkce do malwaru, včetně zlodějů, infektorů a vzorků ransomwaru. Tento mnohostranný přístup poskytuje malwaru schopnost způsobit značné škody, když dosáhne své plné provozní kapacity. Obrana proti Big Head se stává náročnější kvůli nutnosti řešit každý útočný vektor zvlášť.

Vzhledem ke komplexní povaze Big Head a jeho potenciálu dále se vyvíjet se bezpečnostní experti obávají důsledků a dopadu, který může mít na cílové systémy. Multifunkční design malwaru vyžaduje, aby organizace a bezpečnostní profesionálové přijali komplexní přístup k obraně se zaměřením na více aspektů a zranitelností současně.

Útočníci používají jako návnady falešné reklamy společnosti Microsoft

Bylo pozorováno, že Big Head Ransomware je distribuován prostřednictvím malvergací, což jsou poškozené reklamy maskované jako falešné aktualizace Windows nebo instalační programy Wordu.

Po infekci představuje Big Head klamavé uživatelské rozhraní, které napodobuje legitimní proces Windows Update a klame oběti, aby uvěřily, že se jedná o skutečnou aktualizaci softwaru.

V jednom případě analýzy Big Head byly objeveny tři binární soubory, z nichž každá sloužila různým funkcím v cílovém systému. Tyto funkce zahrnovaly šifrování souborů, nasazení telegramového robota, který interagoval s ID chatbota aktéra hrozby, zobrazení falešného uživatelského rozhraní aktualizace systému Windows a instalaci výkupných jako soubory Read Me a tapety.

Spustitelný soubor zodpovědný za robota Telegram, pojmenovaný teleratserver.exe, byl 64bitový binární soubor zkompilovaný v Pythonu. Tento spustitelný soubor akceptoval příkazy jako „start“, „help“, „screenshot“ a „message“ pro navázání komunikace mezi obětí a aktérem hrozby pomocí aplikace pro zasílání zpráv

Byly objeveny verze Big Head Ransomware s rozšířenou funkčností

V jiném případě druhý vzorek Big Head Ransomware demonstroval další schopnosti pro krádež dat. Jeho součástí byl malware WorldWind Stealer, který usnadnil sběr různých typů informací. To zahrnovalo historii procházení ze všech dostupných webových prohlížečů, seznamy adresářů a spuštěných procesů v infikovaném systému, repliku ovladačů a snímek obrazovky zachycený po spuštění malwaru.

Kromě toho třetí vzorek Big Head Ransomware nesl Neshta , malware určený k distribuci virů vkládáním škodlivého kódu do spustitelných souborů. Výzkumníci zdůraznili, že integrace Neshty do nasazení ransomwaru slouží jako maskovací technika pro finální užitečné zatížení Big Head Ransomware. Malware tak může maskovat svou skutečnou povahu a jevit se jako jiný typ hrozby, například virus. Tato taktika má za cíl odvést pozornost a upřednostňovat bezpečnostní řešení, která se primárně zaměřují na detekci ransomwaru.

Zahrnutí těchto dalších funkcí a využití maskovacích technik demonstruje vyvíjející se složitost a sofistikovanost Big Head Ransomware. Začleněním funkcí krádeže dat a využitím dalších součástí malwaru se Big Head pokouší shromáždit cenné informace, zamaskovat svůj skutečný záměr a potenciálně obejít bezpečnostní opatření, která se primárně zaměřují na ransomware.