Big Head Ransomware

Natukoy ng mga mananaliksik sa seguridad ang isang bago at umuusbong na strain ng ransomware na tinatawag na 'Big Head' na nagdulot ng mga alalahanin dahil sa potensyal nitong magdulot ng malaking pinsala kapag ganap na itong gumana. Maramihang natatanging bersyon ng Big Head ang nasuri, na nagpapakita ng sari-sari at multifaceted na kalikasan nito, na nagdudulot ng malalaking hamon para sa mga pagsusumikap sa pagpapagaan sa hinaharap.

Ang mga developer sa likod ng Big Head ay nagpapakita ng isang tiyak na antas ng karanasan, bagama't hindi sila maaaring ituring na napakahusay na mga aktor ng pagbabanta. Ang kanilang kakayahang magsama ng iba't ibang functionality sa loob ng malware, kabilang ang mga stealers, infectors, at ransomware sample, ay partikular na nakakaalarma. Ang multifaceted approach na ito ay nagbibigay sa malware ng kakayahang magdulot ng malaking pinsala kapag naabot nito ang buong kapasidad sa pagpapatakbo nito. Ang pagtatanggol laban sa Big Head ay nagiging mas mahirap dahil sa pangangailangang tugunan ang bawat attack vector nang hiwalay.

Dahil sa masalimuot na katangian ng Big Head at ang potensyal nito na umunlad pa, ang mga eksperto sa seguridad ay nag-aalala tungkol sa mga implikasyon at epekto nito sa mga naka-target na system. Ang multifunctional na disenyo ng malware ay nangangailangan ng mga organisasyon at mga propesyonal sa seguridad na magpatibay ng isang komprehensibong diskarte sa pagtatanggol, na tumutuon sa maraming aspeto at mga kahinaan nang sabay-sabay.

Gumagamit ang mga Attacker ng Mga Pekeng Microsoft Advertisement bilang Mga Pang-akit

Ang Big Head Ransomware ay napagmasdan na ipinamamahagi sa pamamagitan ng mga malvertisement, na mga tiwaling advertisement na itinago bilang mga pekeng Windows update o Word installer.

Sa impeksyon, ang Big Head ay nagpapakita ng isang mapanlinlang na user interface na ginagaya ang isang lehitimong proseso ng Windows Update, na nanlilinlang sa mga biktima sa paniniwalang ang nakakahamak na aktibidad ay isang tunay na pag-update ng software.

Sa isang pagkakataon ng pagsusuri ng Big Head, tatlong binary ang natuklasan, bawat isa ay naghahatid ng iba't ibang mga function sa naka-target na sistema. Kasama sa mga function na ito ang pag-encrypt ng file, ang deployment ng Telegram bot na nakipag-ugnayan sa chatbot ID ng threat actor, ang pagpapakita ng pekeng Windows update UI, at ang pag-install ng ransom notes bilang Read Me na mga file at wallpaper.

Ang executable na responsable para sa Telegram bot, na pinangalanang teleratserver.exe, ay isang 64-bit Python-compiled binary. Itong executable accepted commands gaya ng 'start,' 'help,' 'screenshot,' at 'message' para magtatag ng komunikasyon sa pagitan ng biktima at ng threat actor gamit ang messaging application

Natuklasan ang Mga Bersyon ng Big Head Ransomware na may Pinalawak na Functionality

Sa isa pang pagkakataon, ang pangalawang sample ng Big Head Ransomware ay nagpakita ng mga karagdagang kakayahan para sa pagnanakaw ng data. Isinama nito ang malware ng WorldWind Stealer, na nagpadali sa pagkolekta ng iba't ibang uri ng impormasyon. Kasama rito ang kasaysayan ng pagba-browse mula sa lahat ng available na web browser, mga listahan ng mga direktoryo at mga tumatakbong proseso sa nahawaang system, isang kopya ng mga driver, at isang screenshot ng screen na nakunan pagkatapos na maisakatuparan ang malware.

Higit pa rito, ang ikatlong sample ng Big Head Ransomware ay nagdala ng Neshta , isang malware na idinisenyo upang ipamahagi ang mga virus sa pamamagitan ng pag-inject ng malisyosong code sa mga executable na file. Binigyang-diin ng mga mananaliksik na ang pagsasama ng Neshta sa pag-deploy ng ransomware ay nagsisilbing pamamaraan ng camouflage para sa huling Big Head Ransomware payload. Sa paggawa nito, maaaring itago ng malware ang tunay na katangian nito at lumabas bilang ibang uri ng banta, gaya ng virus. Nilalayon ng taktika na ito na ilihis ang atensyon at pag-prioritize ng mga solusyon sa seguridad na pangunahing nakatuon sa pag-detect ng ransomware.

Ang pagsasama ng mga karagdagang functionality na ito at ang paggamit ng mga diskarte sa camouflage ay nagpapakita ng umuusbong na pagiging kumplikado at pagiging sopistikado ng Big Head Ransomware. Sa pamamagitan ng pagsasama ng mga kakayahan sa pagnanakaw ng data at paggamit ng iba pang bahagi ng malware, sinusubukan ng Big Head na mangalap ng mahalagang impormasyon, itago ang tunay na layunin nito, at posibleng iwasan ang mga hakbang sa seguridad na pangunahing nagta-target ng ransomware.