Big Head Ransomware

Οι ερευνητές ασφαλείας εντόπισαν ένα νέο και αναδυόμενο στέλεχος ransomware που ονομάζεται «Big Head» που έχει εγείρει ανησυχίες λόγω της πιθανότητας του να προκαλέσει σημαντική ζημιά μόλις λειτουργήσει πλήρως. Έχουν αναλυθεί πολλές διαφορετικές εκδόσεις του Big Head, αποκαλύπτοντας την ποικιλόμορφη και πολύπλευρη φύση του, η οποία θέτει σημαντικές προκλήσεις για τις μελλοντικές προσπάθειες μετριασμού.

Οι προγραμματιστές πίσω από το Big Head εμφανίζουν ένα ορισμένο επίπεδο εμπειρίας, αν και μπορεί να μην θεωρούνται εξαιρετικά εξελιγμένοι παράγοντες απειλών. Η ικανότητά τους να ενσωματώνουν διάφορες λειτουργίες μέσα στο κακόβουλο λογισμικό, συμπεριλαμβανομένων δειγμάτων κλοπών, μολυσματικών και ransomware, είναι ιδιαίτερα ανησυχητική. Αυτή η πολύπλευρη προσέγγιση παρέχει στο κακόβουλο λογισμικό τη δυνατότητα να προκαλέσει σημαντική βλάβη όταν φτάσει στην πλήρη επιχειρησιακή του ικανότητα. Η άμυνα ενάντια στο Big Head γίνεται πιο δύσκολη λόγω της ανάγκης να αντιμετωπιστεί κάθε διάνυσμα επίθεσης ξεχωριστά.

Δεδομένης της περίπλοκης φύσης του Big Head και των δυνατοτήτων του να εξελιχθεί περαιτέρω, οι ειδικοί σε θέματα ασφάλειας είναι ανήσυχοι σχετικά με τις επιπτώσεις και τον αντίκτυπο που μπορεί να έχει σε στοχευμένα συστήματα. Ο πολυλειτουργικός σχεδιασμός του κακόβουλου λογισμικού απαιτεί από οργανισμούς και επαγγελματίες ασφάλειας να υιοθετήσουν μια ολοκληρωμένη προσέγγιση για την άμυνα, εστιάζοντας σε πολλαπλές πτυχές και τρωτά σημεία ταυτόχρονα.

Οι επιτιθέμενοι χρησιμοποιούν ψεύτικες διαφημίσεις της Microsoft ως δέλεαρ

Το Big Head Ransomware έχει παρατηρηθεί να διανέμεται μέσω κακόβουλων διαφημίσεων, οι οποίες είναι κατεστραμμένες διαφημίσεις που μεταμφιέζονται ως πλαστές ενημερώσεις των Windows ή προγράμματα εγκατάστασης του Word.

Μετά τη μόλυνση, το Big Head παρουσιάζει μια παραπλανητική διεπαφή χρήστη που μιμείται μια νόμιμη διαδικασία του Windows Update, ξεγελώντας τα θύματα ώστε να πιστέψουν ότι η κακόβουλη δραστηριότητα είναι μια γνήσια ενημέρωση λογισμικού.

Σε μια περίπτωση της ανάλυσης Big Head, ανακαλύφθηκαν τρία δυαδικά αρχεία, το καθένα από τα οποία εξυπηρετούσε διαφορετικές λειτουργίες στο στοχευμένο σύστημα. Αυτές οι λειτουργίες περιελάμβαναν την κρυπτογράφηση αρχείων, την ανάπτυξη ενός bot Telegram που αλληλεπιδρούσε με το αναγνωριστικό chatbot του ηθοποιού απειλής, την εμφάνιση του πλαστού περιβάλλοντος χρήστη ενημέρωσης των Windows και την εγκατάσταση σημειώσεων λύτρων ως αρχεία Read Me και ταπετσαρία.

Το εκτελέσιμο αρχείο που ήταν υπεύθυνο για το bot Telegram, με το όνομα teleratserver.exe, ήταν ένα δυαδικό αρχείο 64-bit μεταγλωττισμένο από Python. Αυτό το εκτελέσιμο αποδέχτηκε εντολές όπως "start", "help", "screenshot" και "message" για τη δημιουργία επικοινωνίας μεταξύ του θύματος και του παράγοντα απειλής χρησιμοποιώντας την εφαρμογή ανταλλαγής μηνυμάτων

Ανακαλύφθηκαν οι εκδόσεις Big Head Ransomware με διευρυμένη λειτουργικότητα

Σε μια άλλη περίπτωση, ένα δεύτερο δείγμα του Big Head Ransomware έδειξε πρόσθετες δυνατότητες για την κλοπή δεδομένων. Ενσωμάτωσε το κακόβουλο λογισμικό WorldWind Stealer, το οποίο διευκόλυνε τη συλλογή διαφόρων τύπων πληροφοριών. Αυτό περιελάμβανε το ιστορικό περιήγησης από όλα τα διαθέσιμα προγράμματα περιήγησης ιστού, λίστες καταλόγων και διεργασιών που εκτελούνται στο μολυσμένο σύστημα, ένα αντίγραφο προγραμμάτων οδήγησης και ένα στιγμιότυπο οθόνης της οθόνης που καταγράφηκε μετά την εκτέλεση του κακόβουλου λογισμικού.

Επιπλέον, ένα τρίτο δείγμα του Big Head Ransomware έφερε το Neshta , ένα κακόβουλο λογισμικό σχεδιασμένο να διανέμει ιούς εισάγοντας κακόβουλο κώδικα σε εκτελέσιμα αρχεία. Οι ερευνητές τόνισαν ότι η ενσωμάτωση του Neshta στην ανάπτυξη ransomware χρησιμεύει ως τεχνική καμουφλάζ για το τελικό ωφέλιμο φορτίο Big Head Ransomware. Με αυτόν τον τρόπο, το κακόβουλο λογισμικό μπορεί να κρύψει την πραγματική του φύση και να εμφανιστεί ως διαφορετικός τύπος απειλής, όπως ένας ιός. Αυτή η τακτική στοχεύει να αποσπάσει την προσοχή και να ιεραρχήσει τις λύσεις ασφαλείας που επικεντρώνονται κυρίως στον εντοπισμό ransomware.

Η συμπερίληψη αυτών των πρόσθετων λειτουργιών και η χρήση τεχνικών καμουφλάζ καταδεικνύουν την εξελισσόμενη πολυπλοκότητα και την πολυπλοκότητα του Big Head Ransomware. Ενσωματώνοντας δυνατότητες κλοπής δεδομένων και αξιοποιώντας άλλα στοιχεία κακόβουλου λογισμικού, το Big Head προσπαθεί να συγκεντρώσει πολύτιμες πληροφορίες, να συγκαλύψει την πραγματική του πρόθεση και ενδεχομένως να παρακάμψει μέτρα ασφαλείας που στοχεύουν κυρίως ransomware.