Ερευνητές ασφαλείας ανέλυσαν ένα νέο ransomware με το όνομα “Big Head“.
Το Big Head ransomware μπορεί να εξαπλώνεται μέσω malveritising εκστρατειών που παρουσιάζουν πλαστές ενημερώσεις των Windows και προγράμματα εγκατάστασης του Microsoft Word.
Στο παρελθόν, η εταιρεία κυβερνοασφάλειας Fortinet ανέλυσε δύο δείγματα του κακόβουλου λογισμικού.
Τώρα, και η Trend Micro δημοσίευσε μια τεχνική έκθεση για το Big Head ransomware. Η έκθεση αναφέρει πως έχουν εντοπιστεί τρεις παραλλαγές του Big Head που πιθανότατα προέρχονται από τον ίδιο χειριστή. Ο χειριστής φαίνεται να πειραματίζεται με διαφορετικές προσεγγίσεις για να βελτιστοποιήσει τις επιθέσεις του.
Mark Zuckerberg: Ο δεύτερος πλουσιότερος άνθρωπος
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
Δείτε επίσης: ΗΠΑ: 22 εκατομμύρια μαθητές μπορεί να πέσουν θύματα επιθέσεων ransomware το 2030
Ψεύτικη ενημέρωση των Windows
Το ransomware “Big Head” είναι ένα .NET binary που εγκαθιστά τρία αρχεία με κρυπτογράφηση AES στο σύστημα-στόχο:
- το πρώτο χρησιμοποιείται για τη διάδοση του κακόβουλου λογισμικού
- το δεύτερο χρησιμοποιείται για την επικοινωνία με το Telegram bot
- το τρίτο κρυπτογραφεί τα αρχεία και μπορεί, επίσης, να δείξει στον χρήστη μια ψεύτικη ενημέρωση για τα Windows.
Κατά την εκτέλεσή του, το ransomware πραγματοποιεί, μεταξύ άλλων, ενέργειες που περιλαμβάνουν τη δημιουργία ενός registry autorun key, την αντικατάσταση υπαρχόντων αρχείων (αν χρειάζεται) και την απενεργοποίηση του Task Manager.
Σε κάθε θύμα εκχωρείται ένα μοναδικό αναγνωριστικό που είτε ανακτάται από τον κατάλογο %appdata%\ID είτε δημιουργείται χρησιμοποιώντας μια τυχαία συμβολοσειρά 40 χαρακτήρων.
Το ransomware μπορεί να διαγράφει shadow copies για να αποτρέψει την επαναφορά του συστήματος πριν κρυπτογραφήσει τα στοχευμένα αρχεία και προσαρτήσει την επέκταση “.poop” στα ονόματα των αρχείων τους.
Επίσης, το Big Head θα τερματίσει κάποιες διαδικασίες, που θα μπορούσαν να σταματήσουν τη διαδικασία κρυπτογράφησης. Οι κατάλογοι Windows, Recycle Bin, Program Files, Temp, Program Data, Microsoft και App Data δεν κρυπτογραφούνται για να αποφευχθεί η αχρηστία του συστήματος.
Επιπλέον, σύμφωνα με την Trend Micro, το ransomware ελέγχει εάν εκτελείται σε virtual box, αναζητά τη γλώσσα του συστήματος και προχωρά σε κρυπτογράφηση μόνο εάν δεν σχετίζεται με χώρα μέλους της Κοινοπολιτείας Ανεξάρτητων Κρατών (πρώην Σοβιετικά κράτη).
Κατά τη διαδικασία της κρυπτογράφησης, το ransomware εμφανίζει μια οθόνη που παριστάνει μια επίσημη ενημέρωση των Windows.
Μετά την κρυπτογράφηση, εμφανίζεται στην οθόνη ένα μήνυμα που ενημερώνει το θύμα για τη μόλυνση και για τα λύτρα που απαιτούνται.
Δείτε επίσης: Ransomware: Συνεχίζει να πλήττει τον ευρωπαϊκό τομέα της υγειονομικής περίθαλψης
Παραλλαγές του Big Head ransomware
Η Trend Micro ανέλυσε δύο ακόμη παραλλαγές του Big Head και παρατήρησε ορισμένες διαφορές σε σύγκριση με τη βασική έκδοση του ransomware.
Η δεύτερη παραλλαγή διατηρεί τις δυνατότητες ransomware, αλλά επιτρέπει και την κλοπή ευαίσθητων δεδομένων από το σύστημα του θύματος. Τα δεδομένα που μπορεί να κλέψει αυτή η έκδοση του Big Head περιλαμβάνουν ιστορικό περιήγησης, λίστα καταλόγων, εγκατεστημένα προγράμματα driver, διεργασίες που εκτελούνται, και ενεργά δίκτυα, ενώ μπορεί επίσης να τραβήξει screenshots.
Η τρίτη παραλλαγή διαθέτει ένα εργαλείο μόλυνσης αρχείων που προσδιορίζεται ως “Neshta”. Αυτό το εργαλείο εισάγει κακόβουλο κώδικα σε εκτελέσιμα αρχεία, στο σύστημα που έχει παραβιαστεί. Αυτή η παραλλαγή χρησιμοποιεί διαφορετικό σημείωμα λύτρων από τις άλλες δύο, ωστόσο προέρχεται από τον ίδιο επιτιθέμενο.
Δείτε επίσης: RedEnergy: Stealer-as-a-Ransomware που στοχεύει σε τομείς ενέργειας και τηλεπικοινωνιών
Σύμφωνα με την Trend Micro, το Big Head δεν είναι ένα εξελιγμένο στέλεχος ransomware. Οι μέθοδοι κρυπτογράφησης είναι αρκετά συνηθισμένες και οι τεχνικές αποφυγής είναι εύκολο να εντοπιστούν.
Φαίνεται πως στοχεύει κυρίως χρήστες που μπορούν να ξεγελαστούν εύκολα, όπως σε αυτή την περίπτωση, με μια ψεύτικη ενημέρωση των Windows.
Οι πολλαπλές παραλλαγές που κυκλοφορούν υποδηλώνουν ότι οι δημιουργοί του Big Head ransomware αναπτύσσουν και βελτιώνουν συνεχώς το κακόβουλο λογισμικό, για να βρουν την πιο αποτελεσματική παραλλαγή.
Το ransomware είναι μια σοβαρή απειλή που μπορεί να έχει καταστροφικές συνέπειες τόσο για άτομα όσο και για επιχειρήσεις. Για να προστατευτείτε, πρέπει να είστε προσεκτικοί όταν χρησιμοποιείτε το Διαδίκτυο, να διατηρείτε το λογισμικό σας ενημερωμένο, να επενδύετε σε συστήματα δημιουργίας αντιγράφων ασφαλείας και να εκπαιδεύεστε σχετικά με τους κινδύνους του ransomware. Θυμηθείτε, σε περίπτωση επίθεσης, μην πανικοβληθείτε και αναζητήστε αμέσως επαγγελματική βοήθεια. Λαμβάνοντας τα κατάλληλα μέτρα, μπορείτε να ελαχιστοποιήσετε τον κίνδυνο και να προστατευθείτε από το να γίνετε θύμα ransomware.
Πηγή: www.bleepingcomputer.com