Big Head-ransomware

Beveiligingsonderzoekers hebben een nieuwe en opkomende vorm van ransomware geïdentificeerd, 'Big Head' genaamd, die tot bezorgdheid heeft geleid vanwege het potentieel om aanzienlijke schade aan te richten zodra deze volledig operationeel is. Er zijn meerdere verschillende versies van Big Head geanalyseerd, waarbij de diverse en veelzijdige aard ervan is onthuld, wat aanzienlijke uitdagingen vormt voor toekomstige mitigatie-inspanningen.

De ontwikkelaars achter Big Head hebben een bepaald ervaringsniveau, hoewel ze misschien niet als zeer geavanceerde bedreigingsactoren worden beschouwd. Hun vermogen om verschillende functionaliteiten in de malware op te nemen, waaronder stealers, infectors en ransomware-voorbeelden, is bijzonder alarmerend. Deze veelzijdige aanpak geeft de malware de mogelijkheid om aanzienlijke schade aan te richten wanneer deze zijn volledige operationele capaciteit bereikt. Verdedigen tegen Big Head wordt een grotere uitdaging vanwege de noodzaak om elke aanvalsvector afzonderlijk aan te pakken.

Gezien de complexe aard van Big Head en het potentieel om verder te evolueren, zijn beveiligingsexperts ongerust over de implicaties en impact die het kan hebben op gerichte systemen. Het multifunctionele ontwerp van de malware vereist dat organisaties en beveiligingsprofessionals een alomvattende benadering van verdediging hanteren, waarbij ze zich tegelijkertijd richten op meerdere aspecten en kwetsbaarheden.

Aanvallers gebruiken valse Microsoft-advertenties als lokaas

Er is waargenomen dat de Big Head Ransomware wordt verspreid via malvertisements, dit zijn corrupte advertenties die zijn vermomd als valse Windows-updates of Word-installatieprogramma's.

Na infectie presenteert Big Head een misleidende gebruikersinterface die een legitiem Windows Update-proces nabootst, waarbij slachtoffers worden misleid door te geloven dat de kwaadaardige activiteit een legitieme software-update is.

In één instantie van Big Head-analyse werden drie binaire bestanden ontdekt, die elk verschillende functies vervullen op het beoogde systeem. Deze functies omvatten bestandsversleuteling, de inzet van een Telegram-bot die interageerde met de chatbot-ID van de bedreigingsactor, de weergave van de valse Windows-update-gebruikersinterface en de installatie van losgeldnota's als leesmij-bestanden en achtergrond.

Het uitvoerbare bestand dat verantwoordelijk was voor de Telegram-bot, teleratserver.exe genaamd, was een 64-bits door Python gecompileerd binair bestand. Dit uitvoerbare bestand accepteert opdrachten zoals 'start', 'help', 'screenshot' en 'bericht' om communicatie tot stand te brengen tussen het slachtoffer en de bedreigingsactor met behulp van de berichtentoepassing

De Big Head Ransomware-versies met uitgebreide functionaliteit zijn ontdekt

In een ander geval toonde een tweede voorbeeld van de Big Head Ransomware aanvullende mogelijkheden voor het stelen van gegevens. Het bevatte de WorldWind Stealer-malware, die het verzamelen van verschillende soorten informatie mogelijk maakte. Dit omvatte de browsegeschiedenis van alle beschikbare webbrowsers, lijsten met mappen en actieve processen op het geïnfecteerde systeem, een replica van stuurprogramma's en een screenshot van het scherm dat werd vastgelegd nadat de malware was uitgevoerd.

Bovendien bevatte een derde exemplaar van de Big Head Ransomware Neshta , een malware die is ontworpen om virussen te verspreiden door kwaadaardige code in uitvoerbare bestanden te injecteren. Onderzoekers benadrukten dat de integratie van Neshta in de ransomware-implementatie dient als camouflagetechniek voor de uiteindelijke Big Head Ransomware-payload. Hierdoor kan de malware zijn ware aard maskeren en verschijnen als een ander type bedreiging, zoals een virus. Deze tactiek is bedoeld om de aandacht af te leiden en prioriteit te geven aan beveiligingsoplossingen die zich primair richten op het detecteren van ransomware.

De opname van deze extra functionaliteiten en het gebruik van camouflagetechnieken demonstreren de evoluerende complexiteit en verfijning van de Big Head Ransomware. Door mogelijkheden voor het stelen van gegevens in te bouwen en andere malwarecomponenten te gebruiken, probeert Big Head waardevolle informatie te verzamelen, de ware bedoeling ervan te verhullen en mogelijk beveiligingsmaatregelen te omzeilen die voornamelijk gericht zijn op ransomware.