Big Head Ransomware

I ricercatori di sicurezza hanno identificato un nuovo ed emergente ceppo di ransomware chiamato "Big Head" che ha sollevato preoccupazioni a causa del suo potenziale di infliggere danni sostanziali una volta pienamente operativo. Sono state analizzate più versioni distinte di Big Head, rivelando la sua natura diversa e sfaccettata, che pone sfide significative per i futuri sforzi di mitigazione.

Gli sviluppatori dietro Big Head mostrano un certo livello di esperienza, anche se potrebbero non essere considerati attori di minacce altamente sofisticati. La loro capacità di incorporare varie funzionalità all'interno del malware, tra cui ladri, infetti e campioni di ransomware, è particolarmente allarmante. Questo approccio sfaccettato garantisce al malware la capacità di causare danni significativi quando raggiunge la sua piena capacità operativa. Difendersi da Big Head diventa più impegnativo a causa della necessità di affrontare ogni vettore di attacco separatamente.

Data la natura complessa di Big Head e il suo potenziale di ulteriore evoluzione, gli esperti di sicurezza sono preoccupati per le implicazioni e l'impatto che potrebbe avere sui sistemi presi di mira. Il design multifunzionale del malware richiede alle organizzazioni e ai professionisti della sicurezza di adottare un approccio globale alla difesa, concentrandosi su più aspetti e vulnerabilità contemporaneamente.

Gli aggressori utilizzano pubblicità Microsoft false come esche

È stato osservato che Big Head Ransomware viene distribuito tramite malvertisements, che sono pubblicità corrotte mascherate da falsi aggiornamenti di Windows o programmi di installazione di Word.

Dopo l'infezione, Big Head presenta un'interfaccia utente ingannevole che imita un legittimo processo di Windows Update, inducendo le vittime a credere che l'attività dannosa sia un vero aggiornamento software.

In un'istanza dell'analisi di Big Head, sono stati scoperti tre binari, ciascuno con funzioni diverse sul sistema preso di mira. Queste funzioni includevano la crittografia dei file, l'implementazione di un bot di Telegram che interagiva con l'ID chatbot dell'autore della minaccia, la visualizzazione dell'interfaccia utente falsa di Windows Update e l'installazione di note di riscatto come file Leggimi e sfondo.

L'eseguibile responsabile del bot di Telegram, denominato teleratserver.exe, era un binario compilato in Python a 64 bit. Questo eseguibile accetta comandi come "start", "help", "screenshot" e "message" per stabilire la comunicazione tra la vittima e l'autore della minaccia utilizzando l'applicazione di messaggistica

Sono state scoperte le versioni di Big Head Ransomware con funzionalità estese

In un altro caso, un secondo campione di Big Head Ransomware ha dimostrato capacità aggiuntive per il furto di dati. Incorporava il malware WorldWind Stealer, che facilitava la raccolta di vari tipi di informazioni. Ciò includeva la cronologia di navigazione di tutti i browser Web disponibili, elenchi di directory e processi in esecuzione sul sistema infetto, una replica dei driver e uno screenshot dello schermo acquisito dopo l'esecuzione del malware.

Inoltre, un terzo campione di Big Head Ransomware conteneva Neshta , un malware progettato per distribuire virus iniettando codice dannoso in file eseguibili. I ricercatori hanno evidenziato che l'integrazione di Neshta nella distribuzione del ransomware funge da tecnica di mimetizzazione per il payload finale di Big Head Ransomware. In questo modo, il malware può mascherare la sua vera natura e apparire come un diverso tipo di minaccia, come un virus. Questa tattica mira a distogliere l'attenzione e la priorità delle soluzioni di sicurezza che si concentrano principalmente sul rilevamento del ransomware.

L'inclusione di queste funzionalità aggiuntive e l'utilizzo di tecniche di mimetizzazione dimostrano l'evoluzione della complessità e della raffinatezza di Big Head Ransomware. Incorporando funzionalità di furto di dati e sfruttando altri componenti del malware, Big Head tenta di raccogliere informazioni preziose, mascherare il suo vero intento e potenzialmente eludere le misure di sicurezza che prendono di mira principalmente il ransomware.