Big Head Ransomware
Drošības pētnieki ir identificējuši jaunu un topošu izspiedējprogrammatūras paveidu, ko sauc par “Big Head”, kas ir radījis bažas, jo tas var radīt ievērojamus zaudējumus, kad tas pilnībā darbosies. Ir analizētas vairākas atšķirīgas Big Head versijas, atklājot tās daudzveidīgo un daudzpusīgo raksturu, kas rada ievērojamus izaicinājumus turpmākajiem mazināšanas pasākumiem.
Big Head izstrādātāji demonstrē noteiktu pieredzes līmeni, lai gan viņi, iespējams, netiek uzskatīti par ļoti sarežģītiem apdraudējuma dalībniekiem. Īpaši satraucoša ir viņu spēja ļaunprātīgā programmatūrā iekļaut dažādas funkcijas, tostarp zagļus, inficētājus un izspiedējvīrusu paraugus. Šī daudzpusīgā pieeja nodrošina ļaunprātīgai programmatūrai spēju nodarīt būtisku kaitējumu, kad tā sasniedz pilnu darbības jaudu. Aizsardzība pret Big Head kļūst grūtāka, jo ir jārisina katrs uzbrukuma vektors atsevišķi.
Ņemot vērā Big Head sarežģīto raksturu un tā tālākas attīstības potenciālu, drošības eksperti ir nobažījušies par tā ietekmi un ietekmi uz mērķa sistēmām. Ļaunprātīgas programmatūras daudzfunkcionālais dizains liek organizācijām un drošības speciālistiem pieņemt visaptverošu pieeju aizsardzībai, vienlaikus koncentrējoties uz vairākiem aspektiem un ievainojamībām.
Uzbrucēji izmanto viltus Microsoft reklāmas kā lures
Ir novērots, ka Big Head Ransomware tiek izplatīts, izmantojot ļaunprātīgas reklāmas, kas ir bojātas reklāmas, kas slēptas kā viltoti Windows atjauninājumi vai Word instalētāji.
Pēc inficēšanās Big Head piedāvā maldinošu lietotāja interfeisu, kas atdarina likumīgu Windows atjaunināšanas procesu, liekot upuriem noticēt, ka ļaunprātīga darbība ir īsts programmatūras atjauninājums.
Vienā Big Head analīzes gadījumā tika atklāti trīs binārie faili, no kuriem katrs veic dažādas funkcijas mērķa sistēmā. Šīs funkcijas ietvēra failu šifrēšanu, Telegram robotprogrammatūras izvietošanu, kas mijiedarbojās ar apdraudējuma aktiera tērzēšanas robota ID, viltus Windows atjaunināšanas lietotāja interfeisa parādīšanu un izpirkuma piezīmju instalēšanu kā Read Me failus un fona tapetes.
Izpildāmais fails, kas ir atbildīgs par Telegram robotu, ar nosaukumu teleratserver.exe, bija 64 bitu Python kompilēta bināra fails. Šis izpildāmais fails pieņēma tādas komandas kā "sākt", "palīdzība", "ekrānuzņēmums" un "ziņojums", lai izveidotu saziņu starp upuri un apdraudējuma dalībnieku, izmantojot ziņojumapmaiņas lietojumprogrammu.
Ir atklātas Big Head Ransomware versijas ar paplašinātu funkcionalitāti
Citā gadījumā otrs Big Head Ransomware paraugs demonstrēja papildu iespējas datu zagšanai. Tajā bija iekļauta ļaunprogrammatūra WorldWind Stealer, kas atviegloja dažāda veida informācijas vākšanu. Tas ietvēra visu pieejamo tīmekļa pārlūkprogrammu pārlūkošanas vēsturi, inficētajā sistēmā esošo direktoriju un procesu sarakstus, draiveru kopijas un ekrānuzņēmumu, kas tika uzņemts pēc ļaunprātīgas programmatūras izpildes.
Turklāt trešajā Big Head Ransomware paraugā bija Neshta — ļaunprātīga programmatūra, kas izstrādāta vīrusu izplatīšanai, izpildāmajos failos ievadot ļaunprātīgu kodu. Pētnieki uzsvēra, ka Neshta integrēšana izspiedējvīrusa izvietošanā kalpo kā maskēšanās paņēmiens pēdējai Big Head Ransomware slodzei. Šādi rīkojoties, ļaunprogrammatūra var maskēt savu patieso būtību un parādīties kā cita veida draudi, piemēram, vīruss. Šīs taktikas mērķis ir novērst uzmanību un noteikt prioritātes drošības risinājumiem, kas galvenokārt ir vērsti uz izspiedējvīrusu atklāšanu.
Šo papildu funkciju iekļaušana un maskēšanās paņēmienu izmantošana parāda Big Head Ransomware sarežģītības un izsmalcinātības attīstību. Iekļaujot datu zagšanas iespējas un piesaistot citus ļaunprātīgas programmatūras komponentus, Big Head mēģina ievākt vērtīgu informāciju, slēpt savu patieso nolūku un, iespējams, apiet drošības pasākumus, kas galvenokārt ir vērsti pret izspiedējvīrusu programmatūru.
