Big Head Ransomware

Sikkerhetsforskere har identifisert en ny og fremvoksende stamme av løsepengevare kalt "Big Head" som har skapt bekymring på grunn av dens potensial til å påføre betydelig skade når den er fullt operativ. Flere forskjellige versjoner av Big Head har blitt analysert, og avslører dens mangfoldige og mangefasetterte natur, noe som utgjør betydelige utfordringer for fremtidig avbøtende innsats.

Utviklerne bak Big Head viser et visst nivå av erfaring, selv om de kanskje ikke anses som svært sofistikerte trusselaktører. Deres evne til å inkorporere ulike funksjoner i skadelig programvare, inkludert tyvere, infektorer og løsepengevareprøver, er spesielt alarmerende. Denne mangefasetterte tilnærmingen gir skadevaren muligheten til å forårsake betydelig skade når den når sin fulle operasjonelle kapasitet. Å forsvare seg mot Big Head blir mer utfordrende på grunn av behovet for å adressere hver angrepsvektor separat.

Gitt Big Heads komplekse natur og potensialet til å utvikle seg videre, er sikkerhetseksperter bekymret for implikasjonene og innvirkningen det kan ha på målrettede systemer. Den multifunksjonelle utformingen av skadevaren krever at organisasjoner og sikkerhetseksperter tar i bruk en omfattende tilnærming til forsvar, med fokus på flere aspekter og sårbarheter samtidig.

Angripere bruker falske Microsoft-annonser som lokker

Big Head Ransomware har blitt observert distribuert gjennom malvertisements, som er ødelagte annonser forkledd som falske Windows-oppdateringer eller Word-installatører.

Ved infeksjon presenterer Big Head et villedende brukergrensesnitt som etterligner en legitim Windows Update-prosess, og lurer ofrene til å tro at den ondsinnede aktiviteten er en ekte programvareoppdatering.

I en forekomst av Big Head-analyse ble tre binærfiler oppdaget, som hver tjener forskjellige funksjoner på det målrettede systemet. Disse funksjonene inkluderte filkryptering, utplassering av en Telegram-bot som samhandlet med trusselaktørens chatbot-ID, visning av det falske Windows-oppdateringsgrensesnittet og installasjon av løsepenger som Read Me-filer og bakgrunnsbilde.

Den kjørbare filen som er ansvarlig for Telegram-boten, kalt teleratserver.exe, var en 64-bit Python-kompilert binær. Denne kjørbare aksepterte kommandoer som "start", "hjelp", "skjermdump" og "melding" for å etablere kommunikasjon mellom offeret og trusselaktøren ved hjelp av meldingsapplikasjonen

Big Head Ransomware-versjonene med utvidet funksjonalitet har blitt oppdaget

I et annet tilfelle demonstrerte en annen prøve av Big Head Ransomware ytterligere muligheter for å stjele data. Den inkorporerte WorldWind Stealer malware, som forenklet innsamlingen av ulike typer informasjon. Dette inkluderte nettleserhistorikken fra alle tilgjengelige nettlesere, lister over kataloger og kjørende prosesser på det infiserte systemet, en replika av drivere og et skjermbilde av skjermen tatt etter at skadelig programvare ble utført.

Videre bar et tredje utvalg av Big Head Ransomware Neshta , en skadelig programvare utviklet for å distribuere virus ved å injisere ondsinnet kode i kjørbare filer. Forskere fremhevet at integrering av Neshta i løsepenge-utplasseringen fungerer som en kamuflasjeteknikk for den endelige Big Head Ransomware-nyttelasten. Ved å gjøre det kan skadelig programvare maskere sin sanne natur og fremstå som en annen type trussel, for eksempel et virus. Denne taktikken tar sikte på å avlede oppmerksomheten og prioriteringen av sikkerhetsløsninger som primært fokuserer på å oppdage løsepengevare.

Inkluderingen av disse tilleggsfunksjonene og bruken av kamuflasjeteknikker demonstrerer den utviklende kompleksiteten og sofistikeringen til Big Head Ransomware. Ved å inkorporere datastjelingsevner og utnytte andre skadevarekomponenter, forsøker Big Head å samle verdifull informasjon, skjule dens sanne hensikt og potensielt omgå sikkerhetstiltak som primært er rettet mot løsepengevare.