Sikkerhedsforskere har for nylig afsløret en ny stamme af ransomware kaldet 'Big Head', som ser ud til at sprede sig gennem vildledende malvertising-taktikker, der udgiver sig som falske Windows-opdateringer og Microsoft Word-installationsprogrammer.

I deres analyse undersøgte cybersikkerhedsfirmaet Fortinet to prøver af malwaren og dykkede ned i dens infektionsvektor og eksekveringsmetoder. Efterfølgende offentliggjorde Trend Micro en teknisk rapport, der kastede yderligere lys over Big Head, og afslørede, at flere varianter, inklusive en tredje, der er samplet af dem, sandsynligvis er arbejdet af en enkelt operatør, der eksperimenterer med forskellige angrebstilgange.

'Big Head'-ransomware fungerer som en .NET-binær og installerer tre AES-krypterede filer på målsystemet. En af disse filer tjener til at udbrede malwaren, en anden letter Telegram-botkommunikation, og den tredje er ansvarlig for at kryptere filer, mens den viser en falsk Windows-opdatering til brugeren. Ud over dette udfører ransomwaren forskellige handlinger ved udførelse, såsom oprettelse af en registreringsdatabase autorun-nøgle, overskrivning af filer, når det er nødvendigt, justering af systemfilattributter og deaktivering af Task Manager. Hvert offer tildeles et unikt ID, enten hentet fra %appdata%\ID-biblioteket eller genereret ved hjælp af en tilfældig 40-tegns streng.

For at forhindre nem systemgendannelse sletter ransomwaren skyggekopier, før de krypterer målrettede filer og tilføjer en ".poop"-udvidelse til deres filnavne. Visse mapper såsom Windows, Papirkurv, Programfiler, Temp, Program Data, Microsoft og App Data springes dog over fra kryptering for at undgå at gøre hele systemet ubrugeligt.

For yderligere at undgå afsløring kontrollerer 'Big Head' ransomware, om den kører på en virtuel boks, og sikrer, at systemsproget ikke er det i et land inden for Commonwealth of Independent States (tidligere sovjetstater), før du fortsætter med kryptering. Under krypteringsprocessen viser ransomware på snedig vis en skærm, der efterligner en legitim Windows-opdatering. Når krypteringen er fuldført, bliver løsesumsedlen droppet i flere mapper, og offerets tapet ændres for at underrette dem om infektionen.

Trend Micros analyse afslørede yderligere to varianter af 'Big Head' ransomware, hver med særskilte egenskaber sammenlignet med standardversionen. Den anden variant kombinerer ransomware-funktioner med data-stjæle-funktioner, så den kan indsamle og udskille følsomme oplysninger fra ofrets system. Disse stjålne data inkluderer browserhistorik, bibliotekslister, installerede drivere, kørende processer, produktnøgler, aktive netværk og endda skærmbilleder. På den anden side har den tredje variant en filinfector kendt som "Neshta", som indsætter ondsindet kode i eksekverbare filer på det kompromitterede system, potentielt for at omgå signaturbaserede detektionsmetoder.

På trods af disse variationer menes alle tre varianter af 'Big Head'-ransomware at være knyttet til den samme trusselsaktør. Trend Micro understreger, at 'Big Head' ikke er en usædvanlig sofistikeret ransomware-stamme; dets krypteringsmetoder er ret standard, og dets unddragelsesteknikker er relativt nemme at opdage.

Det ser dog ud til, at malwarens fokus ligger på at målrette forbrugere, der let kan blive bedraget af simple tricks som den falske Windows-opdatering, eller dem, der mangler en omfattende forståelse af cybersikkerhedsforanstaltninger for at beskytte sig selv effektivt.

Eksistensen af ​​flere cirkulerende varianter indikerer, at skaberne af 'Big Head' ransomware aktivt udvikler og forfiner deres skabelse og eksperimenterer med forskellige tilgange til at identificere de mest effektive angrebsmidler.