Big Head Ransomware

Cercetătorii în domeniul securității au identificat o tulpină nouă și emergentă de ransomware numită „Big Head”, care a stârnit îngrijorări din cauza potențialului său de a provoca daune substanțiale odată ce este complet operațional. Au fost analizate mai multe versiuni distincte ale Big Head, dezvăluind natura sa diversă și cu mai multe fațete, care ridică provocări semnificative pentru eforturile viitoare de atenuare.

Dezvoltatorii din spatele lui Big Head afișează un anumit nivel de experiență, deși ar putea să nu fie considerați actori de amenințări extrem de sofisticați. Capacitatea lor de a încorpora diverse funcționalități în malware, inclusiv furători, infectori și mostre de ransomware, este deosebit de alarmantă. Această abordare cu mai multe fațete oferă malware-ului capacitatea de a provoca daune semnificative atunci când își atinge capacitatea operațională maximă. Apărarea împotriva Big Head devine mai dificilă din cauza necesității de a aborda fiecare vector de atac separat.

Având în vedere natura complexă a Big Head și potențialul său de a evolua în continuare, experții în securitate sunt îngrijorați de implicațiile și impactul pe care îl poate avea asupra sistemelor vizate. Designul multifuncțional al malware-ului cere organizațiilor și profesioniștilor în securitate să adopte o abordare cuprinzătoare a apărării, concentrându-se pe mai multe aspecte și vulnerabilități simultan.

Atacatorii folosesc reclame Microsoft false ca momeli

S-a observat că Big Head Ransomware este distribuit prin reclame malware, care sunt reclame corupte deghizate în actualizări false de Windows sau programe de instalare Word.

La infectare, Big Head prezintă o interfață de utilizator înșelătoare care imită un proces legitim de actualizare Windows, păcălindu-i victimele să creadă că activitatea rău intenționată este o actualizare de software autentică.

Într-un exemplu de analiză Big Head, au fost descoperite trei binare, fiecare servind diferite funcții pe sistemul vizat. Aceste funcții au inclus criptarea fișierelor, desfășurarea unui bot Telegram care a interacționat cu ID-ul chatbot al actorului amenințării, afișarea interfeței de utilizare a actualizării Windows false și instalarea de note de răscumpărare ca fișiere Citește-mă și tapet.

Executabilul responsabil pentru botul Telegram, numit teleratserver.exe, a fost un binar compilat de Python pe 64 de biți. Acest executabil accepta comenzi precum „pornire”, „ajutor”, „captură de ecran” și „mesaj” pentru a stabili comunicarea între victimă și actorul amenințării folosind aplicația de mesagerie

Au fost descoperite versiunile Big Head Ransomware cu funcționalitate extinsă

Într-un alt exemplu, un al doilea eșantion de Big Head Ransomware a demonstrat capacități suplimentare pentru furtul de date. Acesta a încorporat programul malware WorldWind Stealer, care a facilitat colectarea diferitelor tipuri de informații. Acesta a inclus istoricul de navigare din toate browserele web disponibile, liste de directoare și procese care rulează pe sistemul infectat, o replică a driverelor și o captură de ecran a ecranului capturat după executarea malware-ului.

Mai mult, un al treilea eșantion de Big Head Ransomware a purtat Neshta , un malware conceput pentru a distribui viruși prin injectarea de cod rău intenționat în fișierele executabile. Cercetătorii au subliniat că integrarea Neshta în implementarea ransomware-ului servește ca o tehnică de camuflare pentru încărcarea finală Big Head Ransomware. Procedând astfel, malware-ul își poate masca adevărata natură și poate apărea ca un alt tip de amenințare, cum ar fi un virus. Această tactică urmărește să distragă atenția și prioritizarea soluțiilor de securitate care se concentrează în primul rând pe detectarea ransomware.

Includerea acestor funcționalități suplimentare și utilizarea tehnicilor de camuflaj demonstrează complexitatea și sofisticarea în evoluție a ransomware-ului Big Head. Încorporând capabilități de furt de date și valorificând alte componente malware, Big Head încearcă să adune informații valoroase, să-și ascunde adevărata intenție și să ocolească potențial măsurile de securitate care vizează în primul rând ransomware-ul.