Big Head Ransomware
Penyelidik keselamatan telah mengenal pasti jenis perisian tebusan yang baru dan baru muncul yang dipanggil 'Big Head' yang telah menimbulkan kebimbangan kerana potensinya untuk menyebabkan kerosakan yang besar setelah beroperasi sepenuhnya. Berbilang versi Big Head yang berbeza telah dianalisis, mendedahkan sifatnya yang pelbagai dan pelbagai rupa, yang menimbulkan cabaran penting untuk usaha mitigasi masa hadapan.
Pembangun di belakang Big Head memaparkan tahap pengalaman tertentu, walaupun mereka mungkin tidak dianggap sebagai pelakon ancaman yang sangat canggih. Keupayaan mereka untuk menggabungkan pelbagai fungsi dalam perisian hasad, termasuk pencuri, penjangkit dan sampel perisian tebusan, amat membimbangkan. Pendekatan pelbagai rupa ini memberikan perisian hasad keupayaan untuk menyebabkan kemudaratan yang ketara apabila ia mencapai kapasiti operasi penuhnya. Bertahan daripada Big Head menjadi lebih mencabar kerana keperluan untuk menangani setiap vektor serangan secara berasingan.
Memandangkan sifat kompleks Big Head dan potensinya untuk berkembang lebih jauh, pakar keselamatan bimbang tentang implikasi dan kesannya terhadap sistem yang disasarkan. Reka bentuk pelbagai fungsi perisian hasad memerlukan organisasi dan profesional keselamatan untuk menggunakan pendekatan yang komprehensif terhadap pertahanan, memfokuskan pada pelbagai aspek dan kelemahan secara serentak.
Penyerang Menggunakan Iklan Microsoft Palsu sebagai Gewang
Big Head Ransomware telah diperhatikan diedarkan melalui malvertisements, iaitu iklan rosak yang menyamar sebagai kemas kini Windows palsu atau pemasang Word.
Selepas jangkitan, Big Head mempersembahkan antara muka pengguna yang mengelirukan yang meniru proses Kemas Kini Windows yang sah, memperdaya mangsa untuk mempercayai aktiviti berniat jahat itu adalah kemas kini perisian yang tulen.
Dalam satu contoh analisis Big Head, tiga binari ditemui, setiap satu berfungsi dengan fungsi yang berbeza pada sistem yang disasarkan. Fungsi ini termasuk penyulitan fail, penggunaan bot Telegram yang berinteraksi dengan ID chatbot aktor ancaman, paparan UI kemas kini Windows palsu dan pemasangan nota tebusan sebagai fail dan kertas dinding Read Me.
Boleh laku yang bertanggungjawab untuk bot Telegram, bernama teleratserver.exe, ialah binari yang disusun Python 64-bit. Perintah boleh laku yang diterima ini seperti 'mulakan,' 'bantuan,' 'tangkapan skrin' dan 'mesej' untuk mewujudkan komunikasi antara mangsa dan pelaku ancaman menggunakan aplikasi pemesejan
Versi Perisian Ransomware Big Head dengan Fungsi Diperluas Telah Ditemui
Dalam contoh lain, sampel kedua Big Head Ransomware menunjukkan keupayaan tambahan untuk mencuri data. Ia menggabungkan perisian hasad WorldWind Stealer, yang memudahkan pengumpulan pelbagai jenis maklumat. Ini termasuk sejarah penyemakan imbas daripada semua penyemak imbas web yang tersedia, senarai direktori dan proses yang dijalankan pada sistem yang dijangkiti, replika pemacu dan tangkapan skrin skrin yang ditangkap selepas perisian hasad dilaksanakan.
Tambahan pula, sampel ketiga Big Head Ransomware membawa Neshta , perisian hasad yang direka untuk mengedarkan virus dengan menyuntik kod hasad ke dalam fail boleh laku. Penyelidik menekankan bahawa penyepaduan Neshta ke dalam penggunaan perisian tebusan berfungsi sebagai teknik penyamaran untuk muatan perisian Ransomware Big Head terakhir. Dengan berbuat demikian, perisian hasad boleh menutup sifat sebenar dan muncul sebagai jenis ancaman yang berbeza, seperti virus. Taktik ini bertujuan untuk mengalihkan perhatian dan keutamaan penyelesaian keselamatan yang tertumpu terutamanya pada pengesanan perisian tebusan.
Kemasukan fungsi tambahan ini dan penggunaan teknik penyamaran menunjukkan kerumitan dan kecanggihan Big Head Ransomware yang berkembang. Dengan menggabungkan keupayaan mencuri data dan memanfaatkan komponen perisian hasad lain, Big Head cuba mengumpulkan maklumat berharga, menyamarkan niat sebenar dan berpotensi memintas langkah keselamatan yang menyasarkan perisian tebusan.
