Big Head Ransomware

Raziskovalci na področju varnosti so odkrili novo in nastajajočo vrsto izsiljevalske programske opreme, imenovano 'Big Head', ki je vzbujala zaskrbljenost zaradi možnosti povzročitve znatne škode, ko bo popolnoma delovala. Analiziranih je bilo več različnih različic velike glave, kar je razkrilo njeno raznoliko in večplastno naravo, ki predstavlja pomembne izzive za prihodnja prizadevanja za ublažitev.

Razvijalci, ki stojijo za Big Headom, kažejo določeno raven izkušenj, čeprav morda ne veljajo za zelo sofisticirane akterje groženj. Njihova sposobnost, da v zlonamerno programsko opremo vključijo različne funkcije, vključno s kraji, okuževalci in vzorci izsiljevalske programske opreme, je še posebej zaskrbljujoča. Ta večplastni pristop daje zlonamerni programski opremi možnost, da povzroči znatno škodo, ko doseže svojo polno operativno zmogljivost. Obramba pred Big Headom postane zahtevnejša zaradi potrebe po obravnavanju vsakega vektorja napada posebej.

Glede na kompleksno naravo Big Head in njegov potencial za nadaljnji razvoj so varnostni strokovnjaki zaskrbljeni glede posledic in vpliva, ki bi ga lahko imel na ciljne sisteme. Večnamenska zasnova zlonamerne programske opreme zahteva od organizacij in varnostnih strokovnjakov, da sprejmejo celovit pristop k obrambi, ki se osredotoča na več vidikov in ranljivosti hkrati.

Napadalci uporabljajo lažne Microsoftove oglase kot vabe

Opazili so, da se izsiljevalska programska oprema Big Head distribuira prek zlonamernih oglasov, ki so pokvarjeni oglasi, prikriti kot lažne posodobitve sistema Windows ali namestitveni programi za Word.

Po okužbi Big Head predstavi zavajajoč uporabniški vmesnik, ki posnema zakonit postopek Windows Update in žrtve zavede, da verjamejo, da je zlonamerna dejavnost pristna posodobitev programske opreme.

V enem primeru analize Big Head so bile odkrite tri binarne datoteke, od katerih je vsaka služila različnim funkcijam v ciljnem sistemu. Te funkcije so vključevale šifriranje datotek, uvedbo bota Telegram, ki je sodeloval z ID-jem chatbota akterja grožnje, prikaz lažnega uporabniškega vmesnika posodobitve sistema Windows in namestitev opomb o odkupnini kot datotek Read Me in ozadja.

Izvršljiva datoteka, odgovorna za Telegram bot, imenovana teleratserver.exe, je bila 64-bitna binarna datoteka, prevedena s Pythonom. Ta izvedljiva datoteka je sprejemala ukaze, kot so »start«, »help«, »screenshot« in »message« za vzpostavitev komunikacije med žrtvijo in akterjem grožnje z uporabo aplikacije za sporočanje

Različice izsiljevalske programske opreme Big Head z razširjeno funkcionalnostjo so bile odkrite

V drugem primeru je drugi vzorec izsiljevalske programske opreme Big Head pokazal dodatne zmogljivosti za krajo podatkov. Vključeval je zlonamerno programsko opremo WorldWind Stealer, ki je omogočala zbiranje različnih vrst informacij. To je vključevalo zgodovino brskanja iz vseh razpoložljivih spletnih brskalnikov, sezname imenikov in izvajajočih se procesov v okuženem sistemu, repliko gonilnikov in posnetek zaslona, zajet po izvedbi zlonamerne programske opreme.

Poleg tega je tretji vzorec izsiljevalske programske opreme Big Head nosil Neshto , zlonamerno programsko opremo, zasnovano za širjenje virusov z vbrizgavanjem zlonamerne kode v izvršljive datoteke. Raziskovalci so poudarili, da integracija Neshte v uvedbo izsiljevalske programske opreme služi kot kamuflažna tehnika za končni tovor izsiljevalske programske opreme Big Head. S tem lahko zlonamerna programska oprema prikrije svojo pravo naravo in se prikaže kot drugačna vrsta grožnje, na primer virus. Namen te taktike je preusmeriti pozornost in dati prednost varnostnim rešitvam, ki se osredotočajo predvsem na odkrivanje izsiljevalske programske opreme.

Vključitev teh dodatnih funkcij in uporaba kamuflažnih tehnik kažeta na razvijajočo se kompleksnost in prefinjenost izsiljevalske programske opreme Big Head. Z vključevanjem zmogljivosti za krajo podatkov in uporabo drugih komponent zlonamerne programske opreme poskuša Big Head zbrati dragocene informacije, prikriti svoj pravi namen in potencialno zaobiti varnostne ukrepe, ki so usmerjeni predvsem proti izsiljevalski programski opremi.