Big Head Ransomware
Turvateadlased on tuvastanud uue ja esile kerkiva lunavara tüve nimega "Big Head", mis on tekitanud muret, kuna see võib pärast täielikku tööle hakkamist põhjustada märkimisväärset kahju. Big Headi mitut erinevat versiooni on analüüsitud, paljastades selle mitmekülgse ja mitmetahulise olemuse, mis seab tulevastele leevenduspüüdlustele olulisi väljakutseid.
Big Headi arendajatel on teatud kogemustepagas, kuigi neid ei pruugita pidada väga keerukateks ohutegijateks. Eriti murettekitav on nende võime lisada pahavara sisse erinevaid funktsioone, sealhulgas varastajaid, nakatajaid ja lunavaranäidiseid. See mitmetahuline lähenemine annab pahavarale võimaluse tekitada märkimisväärset kahju, kui see saavutab täieliku töövõime. Suure pea vastu kaitsmine muutub keerulisemaks, kuna on vaja käsitleda iga rünnakuvektorit eraldi.
Arvestades Big Headi keerulist olemust ja selle potentsiaali edasi areneda, on turbeeksperdid kartlikud selle mõju ja mõju pärast, mida see sihitud süsteemidele avaldada võib. Pahavara multifunktsionaalne disain nõuab organisatsioonidelt ja turvaspetsialistidelt terviklikku lähenemist kaitsele, keskendudes samaaegselt mitmele aspektile ja haavatavustele.
Ründajad kasutavad peibutisena Microsofti võltsreklaame
On täheldatud, et Big Head Ransomware levitatakse pahatahtlike reklaamide kaudu, mis on rikutud reklaamid, mis on maskeeritud võltsitud Windowsi värskendusteks või Wordi installiprogrammideks.
Nakatumisel esitab Big Head petliku kasutajaliidese, mis jäljendab seaduslikku Windows Update'i protsessi, meelitades ohvreid uskuma, et pahatahtlik tegevus on ehtne tarkvaravärskendus.
Ühes Big Headi analüüsi juhtumis avastati kolm binaarfaili, millest igaüks teenib sihtsüsteemis erinevaid funktsioone. Need funktsioonid hõlmasid failide krüptimist, Telegrami roboti juurutamist, mis suhtles ohus osaleja vestlusroti ID-ga, võltsitud Windowsi värskenduse kasutajaliidese kuvamist ja lunaraha märkmete installimist Read Me failide ja taustapildina.
Telegrami roboti eest vastutav käivitatav fail nimega teleratserver.exe oli 64-bitine Pythoni kompileeritud kahendfail. See käivitatav fail aktsepteeris selliseid käske nagu 'start', 'help', 'screenshot' ja 'message', et luua sõnumsiderakendust kasutades ohvri ja ähvardaja vahel side
Avastatud on laiendatud funktsionaalsusega Big Head lunavara versioonid
Teisel juhul näitas Big Head Ransomware teine proov andmete varastamise täiendavaid võimalusi. See hõlmas WorldWind Stealeri pahavara, mis hõlbustas erinevat tüüpi teabe kogumist. See hõlmas kõigi saadaolevate veebibrauserite sirvimisajalugu, nakatunud süsteemis olevate kataloogide ja töötavate protsesside loendeid, draiverite koopiaid ja pärast pahavara käivitamist jäädvustatud ekraanipilti.
Lisaks sisaldas Big Head Ransomware kolmas proov Neshta , pahavara, mis oli loodud viiruste levitamiseks, süstides käivitatavatesse failidesse pahatahtlikku koodi. Teadlased rõhutasid, et Neshta integreerimine lunavara juurutusse toimib kamuflaažitehnikana viimase Big Head Ransomware kasuliku koormuse jaoks. Seda tehes võib pahavara varjata oma tegelikku olemust ja ilmuda teist tüüpi ohuna, näiteks viirusena. Selle taktika eesmärk on juhtida tähelepanu kõrvale ja prioritiseerida turvalahendusi, mis keskenduvad peamiselt lunavara tuvastamisele.
Nende lisafunktsioonide kaasamine ja kamuflaažitehnikate kasutamine näitavad Big Head Ransomware arenevat keerukust ja keerukust. Andmete varastamise võimaluste ja muude pahavarakomponentide kasutamisega püüab Big Head koguda väärtuslikku teavet, varjata oma tegelikku kavatsust ja potentsiaalselt vältida turvameetmeid, mis on suunatud peamiselt lunavarale.
