Big Head Ransomware
Истраживачи безбедности су идентификовали нову врсту рансомвера у настајању под називом „Велика глава“ која је изазвала забринутост због свог потенцијала да нанесе значајну штету када буде у потпуности оперативна. Анализирано је више различитих верзија Биг Хеада, откривајући његову разнолику и вишеструку природу, што представља значајне изазове за будуће напоре за ублажавање.
Програмери иза Биг Хеада показују одређени ниво искуства, иако се можда не сматрају високо софистицираним актерима претњи. Њихова способност да инкорпорирају различите функционалности у малвер, укључујући крадљивце, заразе и узорке рансомвера, посебно је алармантна. Овај вишестрани приступ даје малверу могућност да изазове значајну штету када достигне свој пуни оперативни капацитет. Одбрана од велике главе постаје изазовнија због потребе да се сваки вектор напада посебно адресира.
С обзиром на сложену природу Биг Хеад-а и његов потенцијал да се даље развија, стручњаци за безбедност страхују од импликација и утицаја које он може имати на циљане системе. Мултифункционални дизајн малвера захтева од организација и стручњака за безбедност да усвоје свеобухватан приступ одбрани, фокусирајући се на више аспеката и рањивости истовремено.
Нападачи користе лажне Мицрософтове рекламе као мамце
Примећено је да се Биг Хеад Рансомваре дистрибуира преко малверзација, које су оштећене рекламе прерушене у лажне Виндовс исправке или Ворд инсталационе програме.
Након инфекције, Биг Хеад представља обмањујући кориснички интерфејс који опонаша легитиман процес Виндовс Упдате, наводећи жртве да поверују да је злонамерна активност право ажурирање софтвера.
У једном случају анализе Биг Хеада, откривене су три бинарне датотеке, од којих свака служи различитим функцијама на циљаном систему. Ове функције су укључивале шифровање датотека, примену Телеграм бота који је ступио у интеракцију са ИД-ом чатбота актера претње, приказ лажног корисничког интерфејса за ажурирање оперативног система Виндовс и инсталацију белешки о откупнини као датотеке Реад Ме и позадине.
Извршни фајл одговоран за Телеграм бот, под називом телератсервер.еке, био је 64-битни бинарни фајл компајлиран на Питхон-у. Овај извршни програм прихвата команде као што су „старт“, „помоћ“, „снимак екрана“ и „порука“ за успостављање комуникације између жртве и претње помоћу апликације за размену порука
Откривене су верзије Биг Хеад Рансомваре-а са проширеном функционалношћу
У другом случају, други узорак Биг Хеад Рансомваре-а показао је додатне могућности за крађу података. Укључио је малвер ВорлдВинд Стеалер, који је олакшао прикупљање различитих врста информација. Ово је укључивало историју прегледања из свих доступних веб прегледача, листе директоријума и покренутих процеса на зараженом систему, реплику драјвера и снимак екрана снимљеног након што је малвер покренут.
Штавише, трећи узорак Биг Хеад Рансомваре-а носио је Несхта , малвер дизајниран да дистрибуира вирусе убризгавањем злонамерног кода у извршне датотеке. Истраживачи су истакли да интеграција Несхта-е у примену рансомваре-а служи као маскирна техника за коначни терет Биг Хеад Рансомваре-а. На тај начин, малвер може да маскира своју праву природу и да се појави као друга врста претње, као што је вирус. Ова тактика има за циљ да скрене пажњу и одреди приоритете безбедносних решења која се првенствено фокусирају на откривање рансомваре-а.
Укључивање ових додатних функционалности и коришћење техника камуфлаже показују растућу сложеност и софистицираност Биг Хеад Рансомваре-а. Укључујући могућности крађе података и искориштавајући друге компоненте злонамјерног софтвера, Биг Хеад покушава да прикупи вриједне информације, прикрије своју праву намјеру и потенцијално заобиђе сигурносне мјере које првенствено циљају на рансомваре.
