Big Head Ransomware
Los investigadores de seguridad han identificado una variedad nueva y emergente de ransomware llamada 'Big Head' que ha generado preocupación debido a su potencial para infligir daños sustanciales una vez que esté en pleno funcionamiento. Se han analizado múltiples versiones distintas de Big Head, lo que revela su naturaleza diversa y multifacética, lo que plantea desafíos importantes para los esfuerzos de mitigación futuros.
Los desarrolladores detrás de Big Head muestran un cierto nivel de experiencia, aunque es posible que no se los considere actores de amenazas altamente sofisticados. Su capacidad para incorporar varias funcionalidades dentro del malware, incluidos ladrones, infectores y muestras de ransomware, es particularmente alarmante. Este enfoque multifacético otorga al malware la capacidad de causar un daño significativo cuando alcanza su capacidad operativa total. Defenderse de Big Head se vuelve más desafiante debido a la necesidad de abordar cada vector de ataque por separado.
Dada la naturaleza compleja de Big Head y su potencial para evolucionar aún más, los expertos en seguridad están preocupados por las implicaciones y el impacto que puede tener en los sistemas específicos. El diseño multifuncional del malware requiere que las organizaciones y los profesionales de seguridad adopten un enfoque integral de defensa, centrándose en múltiples aspectos y vulnerabilidades simultáneamente.
Los atacantes usan anuncios falsos de Microsoft como señuelos
Se ha observado que Big Head Ransomware se distribuye a través de anuncios maliciosos, que son anuncios corruptos disfrazados de actualizaciones falsas de Windows o instaladores de Word.
Tras la infección, Big Head presenta una interfaz de usuario engañosa que imita un proceso legítimo de actualización de Windows, engañando a las víctimas haciéndoles creer que la actividad maliciosa es una actualización de software genuina.
En una instancia del análisis de Big Head, se descubrieron tres binarios, cada uno con diferentes funciones en el sistema objetivo. Estas funciones incluían el cifrado de archivos, la implementación de un bot de Telegram que interactuaba con la identificación del chatbot del actor de amenazas, la visualización de la interfaz de usuario de actualización de Windows falsa y la instalación de notas de rescate como archivos Léame y fondo de pantalla.
El ejecutable responsable del bot de Telegram, llamado teleratserver.exe, era un binario compilado en Python de 64 bits. Este ejecutable aceptaba comandos como 'inicio', 'ayuda', 'captura de pantalla' y 'mensaje' para establecer comunicación entre la víctima y el actor de amenazas mediante la aplicación de mensajería.
Se han descubierto las versiones de Big Head Ransomware con funcionalidad ampliada
En otro caso, una segunda muestra de Big Head Ransomware demostró capacidades adicionales para robar datos. Incorporó el malware WorldWind Stealer, que facilitó la recopilación de varios tipos de información. Esto incluía el historial de navegación de todos los navegadores web disponibles, listas de directorios y procesos en ejecución en el sistema infectado, una réplica de los controladores y una captura de pantalla de la pantalla capturada después de que se ejecutó el malware.
Además, una tercera muestra de Big Head Ransomware incluía Neshta , un malware diseñado para distribuir virus inyectando código malicioso en archivos ejecutables. Los investigadores destacaron que la integración de Neshta en la implementación del ransomware sirve como una técnica de camuflaje para la carga útil final de Big Head Ransomware. Al hacerlo, el malware puede enmascarar su verdadera naturaleza y aparecer como un tipo diferente de amenaza, como un virus. Esta táctica tiene como objetivo desviar la atención y la priorización de las soluciones de seguridad que se centran principalmente en la detección de ransomware.
La inclusión de estas funcionalidades adicionales y la utilización de técnicas de camuflaje demuestran la evolución de la complejidad y sofisticación de Big Head Ransomware. Al incorporar capacidades de robo de datos y aprovechar otros componentes de malware, Big Head intenta recopilar información valiosa, disfrazar su verdadera intención y eludir potencialmente las medidas de seguridad que se dirigen principalmente al ransomware.
