Big Head Ransomware
Tietoturvatutkijat ovat tunnistaneet uuden ja esiin nousevan kiristysohjelmakannan nimeltä "Big Head", joka on herättänyt huolta, koska se voi aiheuttaa huomattavia vahinkoja, kun se on täysin toiminnassa. Useita erillisiä Big Headin versioita on analysoitu, mikä paljastaa sen monipuolisen ja monitahoisen luonteen, mikä asettaa merkittäviä haasteita tuleville lieventämistoimille.
Big Headin takana olevilla kehittäjillä on jonkin verran kokemusta, vaikka heitä ei ehkä pidetäkään kovin kehittyneinä uhkatoimijoina. Heidän kykynsä sisällyttää haittaohjelmiin erilaisia toimintoja, mukaan lukien varastajat, tartuttajat ja kiristysohjelmanäytteet, on erityisen hälyttävä. Tämä monipuolinen lähestymistapa antaa haittaohjelmalle mahdollisuuden aiheuttaa merkittävää haittaa, kun se saavuttaa täyden toimintakykynsä. Puolustaminen Big Headiä vastaan tulee haastavammaksi, koska jokainen hyökkäysvektori on käsiteltävä erikseen.
Ottaen huomioon Big Headin monimutkaisen luonteen ja sen mahdollisuudet kehittyä edelleen, tietoturvaasiantuntijat ovat huolissaan sen mahdollisista seurauksista ja vaikutuksista kohdennettuihin järjestelmiin. Haittaohjelman monitoiminen suunnittelu edellyttää organisaatioilta ja tietoturva-ammattilaisilta kokonaisvaltaista lähestymistapaa puolustukseen keskittyen useisiin näkökohtiin ja haavoittuvuuksiin samanaikaisesti.
Hyökkääjät käyttävät väärennettyjä Microsoft-mainoksia vieheinä
Big Head Ransomwaren on havaittu leviävän haittaohjelmien kautta, jotka ovat vioittuneita mainoksia, jotka on naamioitu väärennetyiksi Windows-päivityksiksi tai Wordin asennusohjelmiksi.
Tartunnan yhteydessä Big Head esittelee petollisen käyttöliittymän, joka jäljittelee laillista Windows Update -prosessia ja huijaa uhrit uskomaan, että haitallinen toiminta on aito ohjelmistopäivitys.
Yhdessä Big Head -analyysin tapauksessa löydettiin kolme binaaritiedostoa, joista jokainen palveli eri toimintoja kohdejärjestelmässä. Näihin toimintoihin sisältyi tiedostojen salaus, Telegram-botin käyttöönotto, joka oli vuorovaikutuksessa uhkatekijän chatbot-tunnuksen kanssa, väärennetyn Windows-päivityksen käyttöliittymän näyttäminen ja lunnaita koskevien muistiinpanojen asentaminen Read Me -tiedostoiksi ja taustakuvaksi.
Telegram-botista vastaava suoritustiedosto, nimeltään teleratserver.exe, oli 64-bittinen Python-käännetty binaari. Tämä suoritettava tiedosto hyväksyi komennot, kuten "start", "help", "screenshot" ja "message" yhteyden muodostamiseksi uhrin ja uhkatekijän välille viestintäsovelluksen avulla.
Big Head Ransomware -versiot, joissa on laajennettu toiminnallisuus, on löydetty
Toisessa tapauksessa Big Head Ransomwaren toinen näyte osoitti lisäominaisuuksia tietojen varastamiseen. Se sisälsi WorldWind Stealer -haittaohjelman, joka helpotti erityyppisten tietojen keräämistä. Tämä sisälsi selaushistorian kaikista saatavilla olevista verkkoselaimista, luettelot hakemistoista ja käynnissä olevista prosesseista tartunnan saaneessa järjestelmässä, kopiot ohjaimista ja kuvakaappauksen näytöstä, joka kaapattiin haittaohjelman suorittamisen jälkeen.
Lisäksi kolmas näyte Big Head Ransomware -ohjelmasta kantoi Neshta- haittaohjelmaa, joka oli suunniteltu levittämään viruksia ruiskuttamalla haitallista koodia suoritettaviin tiedostoihin. Tutkijat korostivat, että Neshtan integroiminen ransomware-käyttöön toimii naamiointitekniikana lopulliselle Big Head Ransomware -hyötykuormalle. Näin toimimalla haittaohjelma voi peittää todellisen luonteensa ja näyttää erilaiselta uhalta, kuten virukselta. Tällä taktiikalla pyritään kääntämään huomio ja priorisoimaan turvaratkaisut, jotka keskittyvät ensisijaisesti kiristysohjelmien havaitsemiseen.
Näiden lisätoimintojen sisällyttäminen ja naamiointitekniikoiden käyttö osoittavat Big Head Ransomwaren kehittyvän monimutkaisuuden ja kehittyneisyyden. Big Head yrittää kerätä arvokasta tietoa, peittää todellisen tarkoituksensa ja mahdollisesti kiertää turvatoimia, jotka kohdistuvat ensisijaisesti kiristysohjelmiin.
