Big Head Ransomware

セキュリティ研究者らは、「Big Head」と呼ばれるランサムウェアの新種を特定しました。これは、完全に動作すると重大な損害を与える可能性があるため懸念を引き起こしています。ビッグヘッドの複数の異なるバージョンが分析され、その多様かつ多面的な性質が明らかになり、将来の緩和努力に重大な課題をもたらしています。

Big Head の開発者は、高度に洗練された脅威アクターとはみなされていませんが、一定レベルの経験を持っています。スティーラー、感染者、ランサムウェア サンプルなど、さまざまな機能をマルウェアに組み込む能力は特に憂慮すべきものです。この多面的なアプローチにより、マルウェアは、その動作能力が最大限に達したときに重大な害を引き起こす可能性が与えられます。 Big Head に対する防御は、各攻撃ベクトルに個別に対処する必要があるため、より困難になります。

Big Head の複雑な性質とさらに進化する可能性を考えると、セキュリティ専門家は、Big Head が標的のシステムに与える影響と影響について懸念しています。マルウェアは多機能に設計されているため、組織やセキュリティ専門家は、複数の側面と脆弱性に同時に焦点を当て、包括的な防御アプローチを採用する必要があります。

攻撃者は偽の Microsoft 広告をルアーとして使用する

Big Head ランサムウェアは、偽の Windows アップデートや Word インストーラーを装った破損した広告であるマルバタイズメントを通じて配布されていることが観察されています。

Big Head は感染すると、正規の Windows Update プロセスを模倣した欺瞞的なユーザー インターフェイスを表示し、被害者を騙して悪意のあるアクティビティが本物のソフトウェア アップデートであると信じ込ませます。

Big Head 分析の一例では、ターゲット システム上でそれぞれが異なる機能を提供する 3 つのバイナリが発見されました。これらの機能には、ファイルの暗号化、脅威アクターのチャットボット ID と対話する Telegram ボットの導入、偽の Windows アップデート UI の表示、Read Me ファイルや壁紙としての身代金メモのインストールなどが含まれます。

Telegram ボットを担当する実行可能ファイルは、teleratserver.exe という名前で、64 ビットの Python でコンパイルされたバイナリでした。この実行可能ファイルは、「スタート」、「ヘルプ」、「スクリーンショット」、「メッセージ」などのコマンドを受け入れ、メッセージング アプリケーションを使用して被害者と脅威アクターの間の通信を確立しました。

Big Head ランサムウェアの機能が拡張されたバージョンが発見された

別の例では、Big Head Ransomware の 2 番目のサンプルが、データを盗むための追加機能を実証しました。これには、さまざまな種類の情報の収集を容易にする WorldWind Stealer マルウェアが組み込まれていました。これには、利用可能なすべての Web ブラウザの閲覧履歴、感染したシステム上のディレクトリと実行プロセスのリスト、ドライバーのレプリカ、マルウェア実行後にキャプチャされた画面のスクリーンショットが含まれます。

さらに、Big Head ランサムウェアの 3 番目のサンプルには、悪意のあるコードを実行可能ファイルに挿入することによってウイルスを配布するように設計されたマルウェアNeshtaが含まれていました。研究者らは、Neshta をランサムウェア展開に統合することが、最終的な Big Head ランサムウェア ペイロードのカモフラージュ技術として機能することを強調しました。そうすることで、マルウェアはその本質を隠し、ウイルスなどの別の種類の脅威として現れる可能性があります。この戦術は、主にランサムウェアの検出に焦点を当てたセキュリティ ソリューションの注意をそらし、優先順位を付けることを目的としています。

これらの追加機能の組み込みとカモフラージュ技術の利用は、Big Head ランサムウェアの複雑さと洗練さが進化していることを示しています。 Big Head は、データ窃取機能を組み込み、他のマルウェア コンポーネントを活用することで、貴重な情報を収集し、その真の意図を偽装し、主にランサムウェアをターゲットとするセキュリティ対策を回避しようとします。