Big Head Ransomware

Дослідники безпеки виявили новий штам програм-вимагачів під назвою «Big Head», який викликає занепокоєння через його потенціал завдати значної шкоди після повної готовності. Було проаналізовано кілька різних версій великої голови, що виявило її різноманітну та багатогранну природу, яка створює значні проблеми для майбутніх заходів із зменшення наслідків.

Розробники, що стоять за Big Head, демонструють певний рівень досвіду, хоча їх не можна вважати висококваліфікованими загрозливими акторами. Особливу тривогу викликає їхня здатність інтегрувати різноманітні функції у зловмисне програмне забезпечення, зокрема викрадачів, інфікаторів і зразки програм-вимагачів. Цей багатогранний підхід надає зловмисному програмному забезпеченню можливість завдавати значної шкоди, коли воно досягає повної робочої здатності. Захист від Big Head стає складнішим через необхідність розглядати кожен вектор атаки окремо.

Враховуючи складний характер Big Head і його потенціал для подальшого розвитку, експерти з безпеки побоюються наслідків і впливу, який він може мати на цільові системи. Багатофункціональний дизайн зловмисного програмного забезпечення вимагає від організацій і спеціалістів із безпеки застосування комплексного підходу до захисту, зосереджуючись на кількох аспектах і вразливостях одночасно.

Зловмисники використовують фальшиву рекламу Microsoft як приманку

Помічено, що програмне забезпечення-вимагач Big Head розповсюджується через зловмисну рекламу, яка є пошкодженою рекламою, замаскованою під підроблені оновлення Windows або інсталятори Word.

Після зараження Big Head представляє оманливий інтерфейс користувача, який імітує законний процес Windows Update, обманом змушуючи жертв повірити, що зловмисна активність є справжнім оновленням програмного забезпечення.

В одному випадку аналізу Big Head було виявлено три двійкові файли, кожен з яких виконує різні функції в цільовій системі. Ці функції включали шифрування файлів, розгортання бота Telegram, який взаємодіяв з ідентифікатором чат-бота зловмисника, відображення підробленого інтерфейсу користувача оновлення Windows і встановлення нотаток про викуп у вигляді файлів і шпалер Read Me.

Виконуваний файл, відповідальний за бота Telegram під назвою teleratserver.exe, був 64-розрядним двійковим файлом, скомпільованим на Python. Цей виконуваний файл приймав такі команди, як «старт», «допомога», «скріншот» і «повідомлення», щоб встановити зв’язок між жертвою та загрозою за допомогою програми обміну повідомленнями.

Було виявлено версії програми-вимагача Big Head із розширеною функціональністю

В іншому випадку другий зразок програми-вимагача Big Head продемонстрував додаткові можливості для викрадення даних. Він містив шкідливу програму WorldWind Stealer, яка полегшувала збір різної інформації. Це включало історію перегляду з усіх доступних веб-браузерів, списки каталогів і запущених процесів в зараженій системі, копію драйверів і скріншот екрана, зроблений після запуску шкідливої програми.

Крім того, третій зразок Big Head Ransomware містив Neshta , зловмисне програмне забезпечення, призначене для розповсюдження вірусів шляхом введення шкідливого коду у виконувані файли. Дослідники підкреслили, що інтеграція Neshta у розгортання програми-вимагача служить технікою камуфляжу для остаточного корисного навантаження програми-вимагача Big Head. Таким чином зловмисне програмне забезпечення може маскувати свою справжню природу та виглядати як інший тип загрози, наприклад вірус. Ця тактика має на меті відвернути увагу та визначити пріоритетність рішень безпеки, які в основному зосереджені на виявленні програм-вимагачів.

Включення цих додаткових функцій і використання методів камуфляжу демонструє розвиток складності та витонченості програми-вимагача Big Head. Використовуючи можливості крадіжки даних і використовуючи інші компоненти зловмисного програмного забезпечення, Big Head намагається зібрати цінну інформацію, замаскувати свої справжні наміри та потенційно обійти заходи безпеки, спрямовані в основному на програми-вимагачі.