Big Head Ransomware

Sigurnosni istraživači identificirali su novu vrstu ransomwarea u nastajanju pod nazivom 'Big Head' koja je izazvala zabrinutost zbog svoje mogućnosti da nanese znatnu štetu nakon što u potpunosti proradi. Analizirano je više različitih verzija Big Heada, otkrivajući njegovu raznoliku i višestruku prirodu, koja predstavlja značajne izazove za buduće napore za ublažavanje.

Programeri koji stoje iza Big Heada pokazuju određenu razinu iskustva, iako se možda ne smatraju visoko sofisticiranim akterima prijetnji. Posebno je alarmantna njihova sposobnost da ugrade različite funkcije u zlonamjerni softver, uključujući kradljivce, infektore i uzorke ransomwarea. Ovaj višestrani pristup daje zlonamjernom softveru mogućnost da uzrokuje značajnu štetu kada dosegne svoj puni operativni kapacitet. Obrana od Big Heada postaje zahtjevnija zbog potrebe da se svaki vektor napada zasebno rješava.

S obzirom na složenu prirodu Big Heada i njegov potencijal da se dalje razvija, sigurnosni stručnjaci su zabrinuti zbog implikacija i utjecaja koje bi mogao imati na ciljane sustave. Multifunkcionalni dizajn zlonamjernog softvera zahtijeva od organizacija i sigurnosnih stručnjaka da usvoje sveobuhvatan pristup obrani, fokusirajući se na više aspekata i ranjivosti istovremeno.

Napadači koriste lažne Microsoftove reklame kao mamce

Uočeno je da se Big Head Ransomware distribuira putem zlonamjernih oglasa, koji su oštećeni oglasi prerušeni u lažna ažuriranja za Windows ili programe za instalaciju Worda.

Nakon infekcije, Big Head predstavlja varljivo korisničko sučelje koje oponaša legitiman proces Windows Update, varajući žrtve da povjeruju da je zlonamjerna aktivnost pravo ažuriranje softvera.

U jednom primjeru analize Big Head otkrivene su tri binarne datoteke, od kojih svaka služi različitim funkcijama na ciljanom sustavu. Te su funkcije uključivale enkripciju datoteka, implementaciju Telegram bota koji je komunicirao s ID-om chatbota aktera prijetnje, prikaz lažnog korisničkog sučelja za ažuriranje sustava Windows i instalaciju bilješki o otkupnini kao Read Me datoteka i pozadine.

Izvršna datoteka odgovorna za Telegram bot, nazvana teleratserver.exe, bila je 64-bitna binarna datoteka kompajlirana u Pythonu. Ova je izvršna datoteka prihvaćala naredbe kao što su 'start', 'help', 'screenshot' i 'message' za uspostavljanje komunikacije između žrtve i aktera prijetnje pomoću aplikacije za razmjenu poruka

Otkrivene su verzije Big Head Ransomwarea s proširenom funkcionalnošću

U drugom slučaju, drugi uzorak Big Head Ransomwarea pokazao je dodatne mogućnosti za krađu podataka. Uključuje malware WorldWind Stealer koji olakšava prikupljanje različitih vrsta informacija. To je uključivalo povijest pregledavanja svih dostupnih web preglednika, popise direktorija i pokrenutih procesa na zaraženom sustavu, repliku upravljačkih programa i snimku zaslona snimljenu nakon pokretanja zlonamjernog softvera.

Nadalje, treći uzorak Big Head Ransomwarea nosio je Neshta , malware dizajniran za distribuciju virusa ubacivanjem zlonamjernog koda u izvršne datoteke. Istraživači su istaknuli da integracija Neshte u implementaciju ransomwarea služi kao kamuflažna tehnika za konačno opterećenje Big Head Ransomwarea. Na taj način zlonamjerni softver može prikriti svoju pravu prirodu i prikazati se kao druga vrsta prijetnje, poput virusa. Ova taktika ima za cilj preusmjeriti pozornost i dati prioritet sigurnosnim rješenjima koja su prvenstveno usredotočena na otkrivanje ransomwarea.

Uključivanje ovih dodatnih funkcija i korištenje kamuflažnih tehnika pokazuju rastuću složenost i sofisticiranost Big Head Ransomwarea. Uključivanjem mogućnosti krađe podataka i iskorištavanjem drugih komponenti zlonamjernog softvera, Big Head pokušava prikupiti vrijedne informacije, prikriti svoju pravu namjeru i potencijalno zaobići sigurnosne mjere koje primarno ciljaju na ransomware.