Big Head Ransomware

חוקרי אבטחה זיהו זן חדש ומתהווה של תוכנות כופר בשם 'ראש גדול', שעורר חששות בשל הפוטנציאל שלה לגרום נזק משמעותי לאחר הפעלה מלאה. גרסאות שונות של ביג ראש נותחו, וחושפות את אופיו המגוון והרב-גוני, מה שמציב אתגרים משמעותיים למאמצי הפחתה עתידיים.

המפתחים שמאחורי Big Head מציגים רמה מסוימת של ניסיון, אם כי הם אולי לא נחשבים לשחקני איומים מתוחכמים במיוחד. היכולת שלהם לשלב פונקציונליות שונות בתוכנות הזדוניות, כולל גונבים, מדבקים ודגימות של תוכנות כופר, מדאיגה במיוחד. גישה רב-גונית זו מעניקה לתוכנה הזדונית את היכולת לגרום לנזק משמעותי כאשר היא מגיעה למלוא היכולת התפעולית שלה. ההגנה נגד ביג ראש הופכת למאתגרת יותר בגלל הצורך לטפל בכל וקטור התקפה בנפרד.

לאור האופי המורכב של ביג ראש והפוטנציאל שלו להתפתח עוד יותר, מומחי אבטחה חוששים מההשלכות וההשפעה שעשויה להיות לו על מערכות ממוקדות. העיצוב הרב-תכליתי של התוכנה הזדונית מחייב ארגונים ואנשי אבטחה לאמץ גישה מקיפה להגנה, תוך התמקדות במספר היבטים ופגיעויות בו-זמנית.

תוקפים משתמשים בפרסומות מזויפות של מיקרוסופט בתור פתיונות

תוכנת הכופר של ה-Big Head נצפתה מופצת באמצעות פרסומות פגומות, המחופשות לעדכוני Windows מזויפים או למתקינים של Word.

לאחר ההדבקה, ביג ראש מציג ממשק משתמש מטעה המחקה תהליך לגיטימי של Windows Update, המרמה את הקורבנות להאמין שהפעילות הזדונית היא עדכון תוכנה אמיתי.

באחד המקרים של ניתוח ראש גדול, התגלו שלושה קבצים בינאריים, שכל אחד מהם משרת פונקציות שונות במערכת היעד. פונקציות אלו כללו הצפנת קבצים, פריסת בוט של טלגרם שקיים אינטראקציה עם מזהה הצ'אטבוט של שחקן האיום, הצגת ממשק המשתמש המזויף של עדכון Windows, והתקנת פתקי כופר כקבצי Read Me וטפטים.

קובץ ההפעלה האחראי על הבוט של Telegram, בשם teleratserver.exe, היה קובץ בינארי של 64 סיביות לפייתון. קובץ ההפעלה הזה קיבל פקודות כמו 'התחל', 'עזרה', 'צילום מסך' ו'הודעה' כדי ליצור תקשורת בין הקורבן לבין שחקן האיום באמצעות אפליקציית ההודעות

התגלו גרסאות Big Head Ransomware עם פונקציונליות מורחבת

במקרה אחר, מדגם שני של תוכנת הכופר של Big Head הדגימה יכולות נוספות לגניבת נתונים. היא שילבה את התוכנה הזדונית WorldWind Stealer, שהקלה על איסוף מידע מסוגים שונים. זה כלל את היסטוריית הגלישה מכל דפדפני האינטרנט הזמינים, רשימות של ספריות ותהליכים פועלים במערכת הנגועה, העתק של מנהלי התקנים וצילום מסך של המסך שנלכד לאחר ביצוע התוכנה הזדונית.

יתרה מזאת, מדגם שלישי של תוכנת הכופר הגדול נשאה את Neshta , תוכנה זדונית שנועדה להפיץ וירוסים על ידי הזרקת קוד זדוני לקבצי הפעלה. חוקרים הדגישו כי שילוב Neshta בפריסת תוכנות הכופר משמש כטכניקת הסוואה למטען הסופי של תוכנת הכופר של Big Head. על ידי כך, התוכנה הזדונית יכולה להסוות את טבעה האמיתי ולהופיע כסוג אחר של איום, כגון וירוס. טקטיקה זו שואפת להסיט את תשומת הלב ותעדוף של פתרונות אבטחה המתמקדים בעיקר באיתור תוכנות כופר.

הכללת הפונקציות הנוספות הללו והשימוש בטכניקות הסוואה מדגימים את המורכבות והתחכום המתפתחים של תוכנת הכופר הגדול. על ידי שילוב יכולות גניבת נתונים ומינוף רכיבי תוכנה זדונית אחרים, ביג ראש מנסה לאסוף מידע בעל ערך, להסוות את כוונתו האמיתית, ועלול לעקוף אמצעי אבטחה המכוונים בעיקר לתוכנות כופר.