Big Head Ransomware

Biztonsági kutatók azonosították a zsarolóprogramok új és feltörekvő törzsét, a „Big Head”-et, amely aggodalomra ad okot, mivel a teljes működés után jelentős károkat okozhat. A Big Head több különböző változatát elemezték, feltárva annak sokszínű és sokrétű természetét, ami jelentős kihívásokat jelent a jövőbeli mérséklési erőfeszítések számára.

A Big Head mögött álló fejlesztők bizonyos szintű tapasztalattal rendelkeznek, bár lehet, hogy nem tekinthetők túl kifinomult fenyegetés szereplőknek. Különösen riasztó az a képességük, hogy különféle funkciókat építenek be a rosszindulatú programokba, beleértve a lopókat, fertőzőket és zsarolóprogram-mintákat. Ez a sokrétű megközelítés lehetővé teszi a kártevő számára, hogy jelentős károkat okozzon, amikor eléri teljes működési kapacitását. A Big Head elleni védekezés nagyobb kihívást jelent, mivel minden támadási vektort külön kell kezelni.

Tekintettel a Big Head összetett természetére és további fejlődési lehetőségeire, a biztonsági szakértők tartanak attól, hogy milyen következményekkel és hatásokkal járhat a célrendszerekre. A kártevő többfunkciós kialakítása megköveteli a szervezetektől és a biztonsági szakemberektől, hogy átfogó védelmi megközelítést alkalmazzanak, egyszerre több szempontra és sebezhetőségre összpontosítva.

A támadók hamis Microsoft-hirdetéseket használnak csalikként

Megfigyelték, hogy a Big Head Ransomware rosszindulatú hirdetéseken keresztül terjeszthető, amelyek hamis Windows-frissítéseknek vagy Word-telepítőknek álcázott sérült hirdetések.

Fertőzéskor a Big Head megtévesztő felhasználói felületet mutat be, amely egy legitim Windows Update folyamatot utánoz, és elhiteti az áldozatokkal, hogy a rosszindulatú tevékenység valódi szoftverfrissítés.

A Big Head elemzés egyik példájában három bináris fájlt fedeztek fel, amelyek mindegyike más-más funkciót szolgált a megcélzott rendszeren. Ezek a funkciók magukban foglalták a fájltitkosítást, a Telegram bot telepítését, amely interakcióba lép a fenyegetettség szereplőjének chatbot-azonosítójával, a hamis Windows-frissítési felhasználói felület megjelenítését, valamint a váltságdíj feljegyzések telepítését Read Me fájlként és háttérképként.

A Telegram botért felelős végrehajtható fájl, a teleratserver.exe egy 64 bites Python által fordított bináris fájl volt. Ez a végrehajtható parancs olyan parancsokat fogadott el, mint a 'start', 'help', 'screenshot' és 'message', hogy kommunikációt létesítsen az áldozat és a fenyegetőző között az üzenetküldő alkalmazás segítségével.

Felfedezték a kibővített funkcionalitású Big Head Ransomware verziókat

Egy másik esetben a Big Head Ransomware második mintája további adatlopási képességeket mutatott be. Beépítette a WorldWind Stealer malware-t, amely megkönnyítette a különféle típusú információk gyűjtését. Ez magában foglalta az összes elérhető webböngésző böngészési előzményeit, a fertőzött rendszeren futó könyvtárak és folyamatok listáját, az illesztőprogramok másolatát, valamint a kártevő végrehajtása után rögzített képernyő képernyőképét.

Ezenkívül a Big Head Ransomware harmadik példánya a Neshta nevű rosszindulatú programot hordozta, amely vírusok terjesztésére szolgált rosszindulatú kódok futtatható fájlokba való bejuttatásával. A kutatók rávilágítottak arra, hogy a Neshta integrálása a ransomware telepítésébe álcázási technikaként szolgál a Big Head Ransomware végső rakományához. Ezzel a rosszindulatú program elfedheti valódi természetét, és más típusú fenyegetésként, például vírusként jelenhet meg. Ennek a taktikának az a célja, hogy elterelje a figyelmet és prioritást állítson fel azokra a biztonsági megoldásokra, amelyek elsősorban a zsarolóvírusok észlelésére összpontosítanak.

Ezen további funkciók beépítése és az álcázási technikák alkalmazása a Big Head Ransomware fejlődő összetettségét és kifinomultságát mutatja. Az adatlopási képességek beépítésével és más rosszindulatú programok összetevőinek felhasználásával a Big Head megpróbál értékes információkat gyűjteni, leplezni valódi szándékát, és potenciálisan megkerülni azokat a biztonsági intézkedéseket, amelyek elsősorban a zsarolóvírusokat célozzák.