Big Head-Ransomware

Sicherheitsforscher haben einen neuen und aufkommenden Ransomware-Typ namens „Big Head“ identifiziert, der aufgrund seines Potenzials, erheblichen Schaden anzurichten, sobald er voll funktionsfähig ist, Anlass zur Sorge gibt. Mehrere unterschiedliche Versionen von Big Head wurden analysiert und zeigten seine vielfältige und vielschichtige Natur, die erhebliche Herausforderungen für künftige Eindämmungsbemühungen mit sich bringt.

Die Entwickler hinter Big Head verfügen über ein gewisses Maß an Erfahrung, obwohl sie möglicherweise nicht als hochentwickelte Bedrohungsakteure gelten. Besonders alarmierend ist ihre Fähigkeit, verschiedene Funktionalitäten in die Malware zu integrieren, darunter Stealer, Infizierer und Ransomware-Samples. Dieser vielschichtige Ansatz verleiht der Malware die Fähigkeit, erheblichen Schaden anzurichten, wenn sie ihre volle Einsatzfähigkeit erreicht. Die Verteidigung gegen Big Head wird schwieriger, da jeder Angriffsvektor separat angegangen werden muss.

Angesichts der Komplexität von Big Head und seines Potenzials, sich weiterzuentwickeln, sind Sicherheitsexperten besorgt über die Auswirkungen und Auswirkungen, die es auf Zielsysteme haben könnte. Das multifunktionale Design der Malware erfordert von Organisationen und Sicherheitsexperten einen umfassenden Verteidigungsansatz, der sich auf mehrere Aspekte und Schwachstellen gleichzeitig konzentriert.

Angreifer nutzen gefälschte Microsoft-Werbung als Lockmittel

Es wurde beobachtet, dass die Big Head Ransomware durch Malvertisements verbreitet wird, bei denen es sich um beschädigte Werbung handelt, die als gefälschte Windows-Updates oder Word-Installationsprogramme getarnt ist.

Bei einer Infektion stellt Big Head eine betrügerische Benutzeroberfläche dar, die einen legitimen Windows Update-Prozess nachahmt und Opfer zu der Annahme verleitet, dass es sich bei der bösartigen Aktivität um ein echtes Software-Update handelt.

In einem Fall der Big Head-Analyse wurden drei Binärdateien entdeckt, die jeweils unterschiedliche Funktionen auf dem Zielsystem erfüllen. Zu diesen Funktionen gehörten die Dateiverschlüsselung, der Einsatz eines Telegram-Bots, der mit der Chatbot-ID des Bedrohungsakteurs interagierte, die Anzeige der gefälschten Windows-Update-Benutzeroberfläche und die Installation von Lösegeldforderungen als Readme-Dateien und Hintergrundbild.

Die für den Telegram-Bot verantwortliche ausführbare Datei mit dem Namen teleratserver.exe war eine 64-Bit-Python-kompilierte Binärdatei. Diese ausführbare Datei akzeptierte Befehle wie „Start“, „Hilfe“, „Screenshot“ und „Nachricht“, um mithilfe der Messaging-Anwendung eine Kommunikation zwischen dem Opfer und dem Bedrohungsakteur herzustellen

Die Big Head Ransomware-Versionen mit erweiterter Funktionalität wurden entdeckt

In einem anderen Fall zeigte eine zweite Probe der Big Head Ransomware zusätzliche Möglichkeiten zum Datendiebstahl. Es enthielt die Malware WorldWind Stealer, die das Sammeln verschiedener Arten von Informationen erleichterte. Dazu gehörten der Browserverlauf aller verfügbaren Webbrowser, Listen der Verzeichnisse und laufenden Prozesse auf dem infizierten System, eine Replik der Treiber und ein Screenshot des Bildschirms, der nach der Ausführung der Malware aufgenommen wurde.

Darüber hinaus enthielt eine dritte Probe der Big Head Ransomware Neshta , eine Malware, die darauf abzielt, Viren durch das Einschleusen von Schadcode in ausführbare Dateien zu verbreiten. Die Forscher betonten, dass die Integration von Neshta in den Ransomware-Einsatz als Tarntechnik für die endgültige Big Head-Ransomware-Nutzlast dient. Auf diese Weise kann die Malware ihre wahre Natur verschleiern und als eine andere Art von Bedrohung erscheinen, beispielsweise als Virus. Diese Taktik zielt darauf ab, die Aufmerksamkeit und Priorisierung von Sicherheitslösungen abzulenken, die sich hauptsächlich auf die Erkennung von Ransomware konzentrieren.

Die Einbeziehung dieser zusätzlichen Funktionalitäten und der Einsatz von Tarntechniken verdeutlichen die zunehmende Komplexität und Raffinesse der Big Head Ransomware. Durch die Integration von Datendiebstahlfunktionen und die Nutzung anderer Malware-Komponenten versucht Big Head, wertvolle Informationen zu sammeln, seine wahre Absicht zu verschleiern und möglicherweise Sicherheitsmaßnahmen zu umgehen, die hauptsächlich auf Ransomware abzielen.