Big Head Ransomware

Výskumníci v oblasti bezpečnosti identifikovali nový a vznikajúci kmeň ransomvéru s názvom „Big Head“, ktorý vyvolal obavy z dôvodu jeho potenciálu spôsobiť značné škody, keď bude plne funkčný. Bolo analyzovaných viacero odlišných verzií Big Head, čo odhalilo jeho rôznorodú a mnohostrannú povahu, ktorá predstavuje významné výzvy pre budúce snahy o zmiernenie.

Vývojári stojaci za Big Head prejavujú určitú úroveň skúseností, hoci ich nemožno považovať za veľmi sofistikovaných aktérov hrozieb. Ich schopnosť začleniť rôzne funkcie do malvéru vrátane zlodejov, infektorov a vzoriek ransomvéru je obzvlášť alarmujúca. Tento mnohostranný prístup poskytuje malvéru schopnosť spôsobiť značné škody, keď dosiahne svoju plnú prevádzkovú kapacitu. Obrana proti Big Head sa stáva náročnejšou kvôli potrebe riešiť každý vektor útoku samostatne.

Vzhľadom na zložitú povahu Big Head a jej potenciál ďalej sa vyvíjať sa bezpečnostní experti obávajú dôsledkov a vplyvu, ktorý môže mať na cieľové systémy. Multifunkčný dizajn malvéru vyžaduje od organizácií a bezpečnostných profesionálov, aby prijali komplexný prístup k obrane so zameraním na viaceré aspekty a zraniteľnosti súčasne.

Útočníci používajú falošné reklamy spoločnosti Microsoft ako návnady

Bolo pozorované, že Big Head Ransomware sa šíri prostredníctvom škodlivých reklám, čo sú poškodené reklamy maskované ako falošné aktualizácie systému Windows alebo inštalátory programu Word.

Po infekcii Big Head predstavuje klamlivé používateľské rozhranie, ktoré napodobňuje legitímny proces Windows Update, čím oklame obete, aby uverili, že škodlivá aktivita je skutočná aktualizácia softvéru.

V jednom prípade analýzy Big Head boli objavené tri binárne súbory, z ktorých každá má v cieľovom systéme iné funkcie. Tieto funkcie zahŕňali šifrovanie súborov, nasadenie telegramového robota, ktorý interagoval s ID chatbota aktéra hrozby, zobrazenie falošného používateľského rozhrania aktualizácie systému Windows a inštaláciu výkupných ako súborov a tapety Read Me.

Spustiteľný súbor zodpovedný za telegramového bota s názvom teleratserver.exe bol 64-bitový binárny súbor kompilovaný v jazyku Python. Tento spustiteľný súbor akceptoval príkazy ako „štart“, „pomoc“, „snímka obrazovky“ a „správa“ na nadviazanie komunikácie medzi obeťou a aktérom hrozby pomocou aplikácie na odosielanie správ.

Boli objavené verzie ransomvéru Big Head s rozšírenými funkciami

V inom prípade druhá vzorka Big Head Ransomware demonštrovala ďalšie možnosti kradnutia údajov. Zahŕňal malvér WorldWind Stealer, ktorý uľahčil zhromažďovanie rôznych typov informácií. To zahŕňalo históriu prehliadania zo všetkých dostupných webových prehliadačov, zoznamy adresárov a spustených procesov v infikovanom systéme, repliku ovládačov a snímku obrazovky zachytenú po spustení malvéru.

Okrem toho tretia vzorka Big Head Ransomware obsahovala Neshta , malvér určený na distribúciu vírusov vstrekovaním škodlivého kódu do spustiteľných súborov. Výskumníci zdôraznili, že integrácia Neshty do nasadenia ransomvéru slúži ako maskovacia technika pre konečné zaťaženie Big Head Ransomware. Malvér tak môže maskovať svoju skutočnú povahu a javiť sa ako iný typ hrozby, napríklad vírus. Táto taktika má za cieľ odvrátiť pozornosť a uprednostniť bezpečnostné riešenia, ktoré sa primárne zameriavajú na detekciu ransomvéru.

Zahrnutie týchto dodatočných funkcií a využitie maskovacích techník demonštruje vyvíjajúcu sa komplexnosť a sofistikovanosť Big Head Ransomware. Začlenením možností krádeže údajov a využitím iných komponentov škodlivého softvéru sa Big Head pokúša zhromaždiť cenné informácie, zamaskovať svoj skutočný zámer a potenciálne obísť bezpečnostné opatrenia, ktoré sa primárne zameriavajú na ransomvér.