Big Head Ransomware

Sikkerhedsforskere har identificeret en ny og spirende stamme af ransomware kaldet 'Big Head', der har givet anledning til bekymring på grund af dens potentiale til at påføre betydelig skade, når den er fuldt operationel. Flere forskellige versioner af Big Head er blevet analyseret, hvilket afslører dets mangfoldige og mangefacetterede natur, hvilket udgør betydelige udfordringer for fremtidige afbødningsindsatser.

Udviklerne bag Big Head udviser et vist niveau af erfaring, selvom de måske ikke betragtes som meget sofistikerede trusselsaktører. Deres evne til at inkorporere forskellige funktionaliteter i malwaren, herunder tyvere, infektorer og ransomware-prøver, er særligt alarmerende. Denne mangefacetterede tilgang giver malwaren mulighed for at forårsage betydelig skade, når den når sin fulde operationelle kapacitet. At forsvare sig mod Big Head bliver mere udfordrende på grund af behovet for at adressere hver angrebsvektor separat.

I betragtning af Big Heads komplekse karakter og dets potentiale til at udvikle sig yderligere, er sikkerhedseksperter bekymrede over de implikationer og indvirkninger, det kan have på målrettede systemer. Det multifunktionelle design af malwaren kræver, at organisationer og sikkerhedsprofessionelle anvender en omfattende tilgang til forsvar, der fokuserer på flere aspekter og sårbarheder samtidigt.

Angribere bruger falske Microsoft-annoncer som lokker

Big Head Ransomware er blevet observeret at blive distribueret gennem malvertisements, som er korrupte reklamer forklædt som falske Windows-opdateringer eller Word-installationsprogrammer.

Ved infektion præsenterer Big Head en vildledende brugergrænseflade, der efterligner en legitim Windows Update-proces, der narrer ofrene til at tro, at den ondsindede aktivitet er en ægte softwareopdatering.

I et tilfælde af Big Head-analyse blev tre binære filer opdaget, der hver tjener forskellige funktioner på det målrettede system. Disse funktioner omfattede filkryptering, udrulning af en Telegram-bot, der interagerede med trusselsaktørens chatbot-id, visning af den falske Windows-opdateringsbrugergrænseflade og installation af løsesumsedler som Read Me-filer og tapet.

Den eksekverbare, der er ansvarlig for Telegram-bot, ved navn teleratserver.exe, var en 64-bit Python-kompileret binær. Denne eksekverbare accepterede kommandoer såsom 'start', 'hjælp', 'skærmbillede' og 'besked' for at etablere kommunikation mellem offeret og trusselsaktøren ved hjælp af beskedapplikationen

Big Head Ransomware-versionerne med udvidet funktionalitet er blevet opdaget

I et andet tilfælde demonstrerede en anden prøve af Big Head Ransomware yderligere muligheder for at stjæle data. Det inkorporerede WorldWind Stealer malware, som lettede indsamlingen af forskellige typer information. Dette inkluderede browsinghistorikken fra alle tilgængelige webbrowsere, lister over mapper og kørende processer på det inficerede system, en kopi af drivere og et skærmbillede af skærmen, der blev taget efter malwaren blev udført.

Desuden bar en tredje prøve af Big Head Ransomware Neshta , en malware designet til at distribuere vira ved at injicere ondsindet kode i eksekverbare filer. Forskere fremhævede, at integration af Neshta i ransomware-implementeringen tjener som en camouflageteknik for den endelige Big Head Ransomware-nyttelast. Ved at gøre det kan malwaren maskere sin sande natur og fremstå som en anden type trussel, såsom en virus. Denne taktik har til formål at aflede opmærksomheden og prioriteringen af sikkerhedsløsninger, der primært fokuserer på at opdage ransomware.

Inkluderingen af disse yderligere funktioner og brugen af camouflageteknikker demonstrerer den udviklende kompleksitet og sofistikering af Big Head Ransomware. Ved at inkorporere data-stjæle-kapaciteter og udnytte andre malware-komponenter, forsøger Big Head at indsamle værdifuld information, skjule dens sande hensigt og potentielt omgå sikkerhedsforanstaltninger, der primært er rettet mod ransomware.