Big Head Ransomware
Studiuesit e sigurisë kanë identifikuar një lloj të ri dhe në zhvillim të ransomware të quajtur 'Big Head' që ka ngritur shqetësime për shkak të potencialit të tij për të shkaktuar dëme të konsiderueshme pasi të jetë plotësisht funksional. Janë analizuar versione të ndryshme të Big Head, duke zbuluar natyrën e tij të larmishme dhe të shumëanshme, e cila paraqet sfida të rëndësishme për përpjekjet e ardhshme zbutëse.
Zhvilluesit pas Big Head shfaqin një nivel të caktuar përvoje, megjithëse mund të mos konsiderohen si aktorë shumë të sofistikuar kërcënimi. Aftësia e tyre për të inkorporuar funksionalitete të ndryshme brenda malware, duke përfshirë vjedhësit, infektuesit dhe mostrat e ransomware, është veçanërisht alarmante. Kjo qasje e shumëanshme i jep malware aftësinë për të shkaktuar dëm të konsiderueshëm kur të arrijë kapacitetin e tij të plotë operacional. Mbrojtja kundër Big Head bëhet më sfiduese për shkak të nevojës për të trajtuar secilin vektor sulmi veç e veç.
Duke pasur parasysh natyrën komplekse të Big Head dhe potencialin e tij për të evoluar më tej, ekspertët e sigurisë janë të shqetësuar për implikimet dhe ndikimin që mund të ketë në sistemet e synuara. Dizajni shumëfunksional i malware kërkon që organizatat dhe profesionistët e sigurisë të miratojnë një qasje gjithëpërfshirëse ndaj mbrojtjes, duke u fokusuar në aspekte dhe dobësi të shumta njëkohësisht.
Sulmuesit përdorin reklama të rreme të Microsoft si joshje
Ransomware i Big Head është vërejtur se shpërndahet përmes reklamave të këqija, të cilat janë reklama të korruptuara të maskuara si përditësime të rreme të Windows ose instalues Word.
Pas infektimit, Big Head paraqet një ndërfaqe përdoruesi mashtruese që imiton një proces legjitim të Windows Update, duke i mashtruar viktimat që të besojnë se aktiviteti keqdashës është një përditësim i vërtetë softueri.
Në një rast të analizës Big Head, u zbuluan tre binare, secila prej të cilave shërbente funksione të ndryshme në sistemin e synuar. Këto funksione përfshinin enkriptimin e skedarëve, vendosjen e një roboti Telegram që ndërvepronte me ID-në e chatbot-it të aktorit të kërcënimit, shfaqjen e UI-së së rreme të përditësimit të Windows dhe instalimin e shënimeve të shpërblesës si skedarë Read Me dhe sfond.
Ekzekutuesi përgjegjës për botin e Telegram, i quajtur teleratserver.exe, ishte një binar 64-bit i përpiluar nga Python. Ky i ekzekutueshëm pranoi komanda të tilla si 'start', 'help', 'screenshot' dhe 'message' për të vendosur komunikim midis viktimës dhe aktorit të kërcënimit duke përdorur aplikacionin e mesazheve
Janë zbuluar versionet Big Head Ransomware me funksionalitet të zgjeruar
Në një rast tjetër, një mostër e dytë e Big Head Ransomware demonstroi aftësi shtesë për vjedhjen e të dhënave. Ai inkorporoi malware WorldWind Stealer, i cili lehtësoi mbledhjen e llojeve të ndryshme të informacionit. Kjo përfshinte historikun e shfletimit nga të gjithë shfletuesit e disponueshëm të internetit, listat e drejtorive dhe proceset e ekzekutimit në sistemin e infektuar, një kopje të drejtuesve dhe një pamje të ekranit të kapur pas ekzekutimit të malware.
Për më tepër, një mostër e tretë e Big Head Ransomware mbante Neshta , një malware i krijuar për të shpërndarë viruse duke injektuar kode me qëllim të keq në skedarë të ekzekutueshëm. Studiuesit theksuan se integrimi i Neshta në vendosjen e ransomware shërben si një teknikë kamuflimi për ngarkesën përfundimtare të Big Head Ransomware. Duke vepruar kështu, malware mund të maskojë natyrën e tij të vërtetë dhe të shfaqet si një lloj tjetër kërcënimi, siç është një virus. Kjo taktikë synon të devijojë vëmendjen dhe prioritizimin e zgjidhjeve të sigurisë që fokusohen kryesisht në zbulimin e ransomware.
Përfshirja e këtyre funksionaliteteve shtesë dhe përdorimi i teknikave të kamuflazhit demonstrojnë kompleksitetin dhe sofistikimin në zhvillim të Big Head Ransomware. Duke përfshirë aftësitë e vjedhjes së të dhënave dhe duke përdorur komponentë të tjerë malware, Big Head përpiqet të mbledhë informacione të vlefshme, të maskojë qëllimin e tij të vërtetë dhe të anashkalojë potencialisht masat e sigurisë që synojnë kryesisht ransomware.
