Big Head Ransomware
Saugumo tyrinėtojai nustatė naują ir atsirandančią išpirkos reikalaujančią programinę įrangą, vadinamą „Big Head“, kuri kėlė susirūpinimą dėl galimo padaryti didelę žalą, kai ji visiškai pradės veikti. Buvo išnagrinėtos kelios skirtingos „Big Head“ versijos, atskleidžiančios jos įvairų ir daugialypį pobūdį, o tai kelia didelių iššūkių būsimoms švelninimo pastangoms.
„Big Head“ kūrėjai demonstruoja tam tikrą patirties lygį, nors jie negali būti laikomi itin sudėtingais grėsmės veikėjais. Ypač nerimą kelia jų gebėjimas į kenkėjiškas programas įtraukti įvairias funkcijas, įskaitant vagis, užkrėstojus ir išpirkos reikalaujančių programų pavyzdžius. Šis daugialypis metodas suteikia kenkėjiškajai programai galimybę padaryti didelę žalą, kai ji pasiekia visą savo veikimo pajėgumą. Apsaugoti nuo Big Head tampa sudėtingesnė, nes reikia atskirai spręsti kiekvieną atakos vektorių.
Atsižvelgiant į sudėtingą „Big Head“ pobūdį ir jos potencialą toliau vystytis, saugumo ekspertai nerimauja dėl jo galimų pasekmių ir poveikio tikslinėms sistemoms. Daugiafunkcinis kenkėjiškos programos dizainas reikalauja, kad organizacijos ir saugumo specialistai laikytųsi visapusiško požiūrio į gynybą, sutelkiant dėmesį į kelis aspektus ir pažeidžiamumą vienu metu.
Užpuolikai naudoja netikrus „Microsoft“ skelbimus kaip masalus
Pastebėta, kad „Big Head Ransomware“ platinama per piktybinius skelbimus, kurie yra sugadinti skelbimai, užmaskuoti kaip netikri „Windows“ naujiniai arba „Word“ diegimo programos.
Užsikrėtus „Big Head“ pristato apgaulingą vartotojo sąsają, kuri imituoja teisėtą „Windows“ naujinimo procesą, apgaudinėdama aukas, kad jie patikėtų, kad kenkėjiška veikla yra tikras programinės įrangos naujinys.
Vienu Big Head analizės atveju buvo aptikti trys dvejetainiai failai, kurių kiekvienas atlieka skirtingas funkcijas tikslinėje sistemoje. Šios funkcijos apėmė failų šifravimą, „Telegram“ roboto, sąveikaujančio su grėsmės veikėjo pokalbių roboto ID, diegimą, netikros „Windows“ naujinimo vartotojo sąsajos rodymą ir išpirkos užrašų kaip „Read Me“ failų ir fono paveikslėlių įdiegimą.
Vykdomasis failas, atsakingas už „Telegram“ robotą, pavadintas teleratserver.exe, buvo 64 bitų „Python“ kompiliuotas dvejetainis failas. Ši vykdomoji programa priėmė komandas, tokias kaip „pradėti“, „pagalba“, „ekrano kopija“ ir „pranešimas“, kad užmegztų ryšį tarp aukos ir grėsmės veikėjo naudojant pranešimų siuntimo programą.
Buvo atrastos „Big Head Ransomware“ versijos su išplėstomis funkcijomis
Kitu atveju antrasis Big Head Ransomware pavyzdys parodė papildomas duomenų vagystės galimybes. Jame buvo įdiegta kenkėjiška programa „WorldWind Stealer“, kuri palengvino įvairių tipų informacijos rinkimą. Tai apėmė visų galimų žiniatinklio naršyklių naršymo istoriją, užkrėstoje sistemoje esančių katalogų ir procesų sąrašus, tvarkyklių kopiją ir ekrano kopiją, užfiksuotą po kenkėjiškos programos vykdymo.
Be to, trečiajame Big Head Ransomware pavyzdyje buvo Neshta – kenkėjiška programa, skirta platinti virusus įvedant kenkėjišką kodą į vykdomuosius failus. Tyrėjai pabrėžė, kad „Neshta“ integravimas į „ransomware“ diegimą yra paskutinė „Big Head Ransomware“ naudingojo krovinio maskavimo technika. Taip elgdamasi kenkėjiška programa gali užmaskuoti tikrąją savo prigimtį ir pasirodyti kaip kitokio tipo grėsmė, pvz., virusas. Šia taktika siekiama nukreipti dėmesį ir nustatyti prioritetus saugos sprendimams, kurie visų pirma yra skirti išpirkos reikalaujančių programų aptikimui.
Šių papildomų funkcijų įtraukimas ir kamufliažo technikų panaudojimas rodo besikeičiantį Big Head Ransomware sudėtingumą ir rafinuotumą. Įtraukdama duomenų vagystės galimybes ir panaudodama kitus kenkėjiškų programų komponentus, „Big Head“ bando rinkti vertingą informaciją, užmaskuoti savo tikrąjį ketinimą ir potencialiai apeiti saugumo priemones, kurios pirmiausia yra skirtos išpirkos reikalaujančioms programoms.
