Big Head Ransomware

Badacze bezpieczeństwa zidentyfikowali nowy i pojawiający się szczep oprogramowania ransomware o nazwie „Big Head”, który budzi obawy ze względu na jego potencjał do spowodowania znacznych szkód po pełnym uruchomieniu. Przeanalizowano wiele różnych wersji Big Head, ujawniając jego różnorodną i wieloaspektową naturę, co stanowi poważne wyzwanie dla przyszłych działań łagodzących.

Twórcy Big Head wykazują pewien poziom doświadczenia, chociaż mogą nie być uważani za wysoce wyrafinowanych cyberprzestępców. Szczególnie niepokojąca jest ich zdolność do włączania różnych funkcji do złośliwego oprogramowania, w tym programów kradnących, infekujących i próbek ransomware. To wielopłaszczyznowe podejście zapewnia złośliwemu oprogramowaniu możliwość spowodowania znacznych szkód, gdy osiągnie pełną zdolność operacyjną. Obrona przed Big Head staje się trudniejsza ze względu na konieczność oddzielnego adresowania każdego wektora ataku.

Biorąc pod uwagę złożony charakter Big Head i jego potencjał do dalszej ewolucji, eksperci ds. bezpieczeństwa obawiają się implikacji i wpływu, jaki może mieć na systemy docelowe. Wielofunkcyjny projekt złośliwego oprogramowania wymaga od organizacji i specjalistów ds. bezpieczeństwa przyjęcia kompleksowego podejścia do obrony, skupiającego się jednocześnie na wielu aspektach i lukach w zabezpieczeniach.

Atakujący używają fałszywych reklam Microsoft jako przynęty

Zaobserwowano, że oprogramowanie Big Head Ransomware jest dystrybuowane za pośrednictwem złośliwych reklam, które są uszkodzonymi reklamami udającymi fałszywe aktualizacje systemu Windows lub instalatory programu Word.

Po infekcji Big Head prezentuje zwodniczy interfejs użytkownika, który naśladuje legalny proces Windows Update, oszukując ofiary, aby uwierzyły, że szkodliwa aktywność jest prawdziwą aktualizacją oprogramowania.

W jednym przypadku analizy Big Head wykryto trzy pliki binarne, z których każdy pełnił inne funkcje w docelowym systemie. Funkcje te obejmowały szyfrowanie plików, wdrożenie bota Telegram, który wchodził w interakcję z identyfikatorem chatbota ugrupowania cyberprzestępczego, wyświetlanie fałszywego interfejsu użytkownika aktualizacji systemu Windows oraz instalowanie żądań okupu jako plików Read Me i tapet.

Plik wykonywalny odpowiedzialny za bota Telegram, nazwany teleratserver.exe, był 64-bitowym plikiem binarnym skompilowanym w języku Python. Ten plik wykonywalny akceptował polecenia, takie jak „start”, „pomoc”, „zrzut ekranu” i „wiadomość”, aby nawiązać komunikację między ofiarą a cyberprzestępcą za pomocą komunikatora

Odkryto wersje Big Head Ransomware z rozszerzoną funkcjonalnością

W innym przypadku druga próbka oprogramowania Big Head Ransomware wykazała dodatkowe możliwości kradzieży danych. Zawierał złośliwe oprogramowanie WorldWind Stealer, które ułatwiało gromadzenie różnego rodzaju informacji. Obejmowało to historię przeglądania ze wszystkich dostępnych przeglądarek internetowych, listy katalogów i uruchomionych procesów w zainfekowanym systemie, replikę sterowników oraz zrzut ekranu ekranu przechwyconego po uruchomieniu szkodliwego oprogramowania.

Co więcej, trzecia próbka oprogramowania Big Head Ransomware zawierała Neshta , złośliwe oprogramowanie przeznaczone do dystrybucji wirusów poprzez wstrzykiwanie złośliwego kodu do plików wykonywalnych. Badacze podkreślili, że zintegrowanie Neshta z oprogramowaniem ransomware służy jako technika kamuflażu dla końcowego ładunku oprogramowania Big Head Ransomware. W ten sposób złośliwe oprogramowanie może maskować swoją prawdziwą naturę i wyglądać jak inny typ zagrożenia, na przykład wirus. Ta taktyka ma na celu odwrócenie uwagi i priorytetyzację rozwiązań bezpieczeństwa, które koncentrują się przede wszystkim na wykrywaniu ransomware.

Włączenie tych dodatkowych funkcji i wykorzystanie technik kamuflażu pokazuje ewoluującą złożoność i wyrafinowanie oprogramowania Big Head Ransomware. Wykorzystując możliwości kradzieży danych i inne komponenty złośliwego oprogramowania, Big Head próbuje zebrać cenne informacje, ukryć swoje prawdziwe intencje i potencjalnie obejść środki bezpieczeństwa, których celem jest głównie oprogramowanie ransomware.