Big Head Ransomware
Säkerhetsforskare har identifierat en ny och framväxande stam av ransomware som kallas "Big Head" som har väckt oro på grund av dess potential att orsaka betydande skada när den väl är i full drift. Flera distinkta versioner av Big Head har analyserats, vilket avslöjar dess mångsidiga och mångfacetterade karaktär, vilket innebär betydande utmaningar för framtida begränsningsinsatser.
Utvecklarna bakom Big Head visar en viss nivå av erfarenhet, även om de kanske inte anses vara mycket sofistikerade hotaktörer. Deras förmåga att införliva olika funktioner i skadlig programvara, inklusive stjälare, infektörer och ransomware-prover, är särskilt alarmerande. Detta mångfacetterade tillvägagångssätt ger skadlig programvara förmågan att orsaka betydande skada när den når sin fulla operativa kapacitet. Att försvara sig mot Big Head blir mer utmanande på grund av behovet av att ta itu med varje attackvektor separat.
Med tanke på Big Heads komplexa natur och dess potential att utvecklas ytterligare, är säkerhetsexperter oroliga för de konsekvenser och inverkan det kan ha på riktade system. Den multifunktionella utformningen av skadlig programvara kräver att organisationer och säkerhetspersonal antar ett heltäckande försvarssätt, med fokus på flera aspekter och sårbarheter samtidigt.
Angripare använder falska Microsoft-annonser som lockelser
Big Head Ransomware har observerats distribueras genom malvertisements, som är korrupta annonser förklädda som falska Windows-uppdateringar eller Word-installatörer.
Vid infektion presenterar Big Head ett vilseledande användargränssnitt som efterliknar en legitim Windows Update-process, som lurar offren att tro att den skadliga aktiviteten är en äkta mjukvaruuppdatering.
I ett fall av Big Head-analys upptäcktes tre binärer, som var och en tjänar olika funktioner på det riktade systemet. Dessa funktioner inkluderade filkryptering, utplaceringen av en Telegram-bot som interagerade med hotaktörens chatbot-ID, visningen av det falska Windows-uppdateringsgränssnittet och installationen av lösensedlar som Read Me-filer och bakgrundsbilder.
Den körbara filen som ansvarar för Telegram-boten, som heter teleratserver.exe, var en 64-bitars Python-kompilerad binär. Denna körbara accepterade kommandon som "start", "hjälp", "skärmdump" och "meddelande" för att upprätta kommunikation mellan offret och hotaktören med hjälp av meddelandeprogrammet
Big Head Ransomware-versionerna med utökad funktionalitet har upptäckts
I ett annat fall visade ett andra prov av Big Head Ransomware ytterligare möjligheter för att stjäla data. Den inkorporerade skadlig programvara WorldWind Stealer, som underlättade insamlingen av olika typer av information. Detta inkluderade webbhistoriken från alla tillgängliga webbläsare, listor över kataloger och pågående processer på det infekterade systemet, en kopia av drivrutiner och en skärmdump av skärmen som togs efter att skadlig programvara kördes.
Dessutom bar ett tredje urval av Big Head Ransomware Neshta , en skadlig programvara designad för att distribuera virus genom att injicera skadlig kod i körbara filer. Forskare betonade att integrationen av Neshta i utplaceringen av ransomware fungerar som en kamouflageteknik för den sista Big Head Ransomware-nyttolasten. Genom att göra det kan skadlig programvara maskera sin sanna natur och framstå som en annan typ av hot, till exempel ett virus. Denna taktik syftar till att avleda uppmärksamheten och prioriteringen av säkerhetslösningar som i första hand fokuserar på att upptäcka ransomware.
Inkluderandet av dessa ytterligare funktioner och användningen av kamouflagetekniker visar den utvecklande komplexiteten och sofistikeringen av Big Head Ransomware. Genom att införliva datastjälningskapacitet och utnyttja andra skadliga komponenter försöker Big Head samla in värdefull information, dölja dess verkliga avsikt och eventuellt kringgå säkerhetsåtgärder som främst riktar sig mot ransomware.
