Los investigadores de seguridad han diseccionado una cepa de ransomware recientemente surgida llamada 'Big Head' que puede estar propagándose a través de publicidad maliciosa que promueve actualizaciones falsas de Windows e instaladores de Microsoft Word.
La empresa de seguridad cibernética Fortinet analizó dos muestras del malware, el vector de infección y cómo se ejecuta el malware.
Trend Micro publicó un informe técnico sobre Big Head que afirma que ambas variantes y una tercera que probaron provienen de un solo operador que probablemente esté experimentando con diferentes enfoques para optimizar sus ataques.
Falsificar una actualización de Windows
El ransomware 'Big Head' es un binario .NET que instala tres archivos cifrados con AES en el sistema de destino: uno se utiliza para propagar el malware, otro es para la comunicación con el bot de Telegram y el tercero cifra los archivos y también puede mostrarle al usuario una copia falsa. Actualizacion de Windows.
Rutina de infección de Big Head (Trend Micro)
En la ejecución, el ransomware también realiza acciones como crear una clave de ejecución automática del registro, sobrescribir los archivos existentes si es necesario, configurar los atributos del archivo del sistema y deshabilitar el Administrador de tareas.
Creación de la ejecución automática del registro (Trend Micro)
A cada víctima se le asigna una identificación única que se recupera del directorio %appdata%\ID o se genera usando una cadena aleatoria de 40 caracteres.
El ransomware elimina las instantáneas para evitar una fácil restauración del sistema antes de cifrar los archivos de destino y agregar una extensión ".poop" a sus nombres de archivo.
Tipos de archivos a los que se dirige Big Head (Trend Micro)
Además, Big Head finalizará los siguientes procesos para evitar la manipulación del proceso de encriptación y liberar datos que el malware debería bloquear.
Procesos terminados antes del cifrado (Trend Micro)
Los directorios de Windows, Papelera de reciclaje, Archivos de programa, Temporal, Datos de programa, Microsoft y Datos de aplicaciones se omiten del cifrado para evitar que el sistema quede inutilizable.
Trend Micro descubrió que el ransomware verifica si se ejecuta en una caja virtual, busca el idioma del sistema y solo procede al cifrado si no está configurado en el de un país miembro de la Comunidad de Estados Independientes (antiguos estados soviéticos).
Idiomas del sistema válidos para el cifrado (Trend Micro)
Durante el cifrado, el ransomware muestra una pantalla que pretende ser una actualización legítima de Windows.
Actualización falsa de Windows que enmascara el cifrado de archivos (Trend Micro)
Una vez que se completa el proceso de cifrado, el siguiente rescate se coloca en varios directorios y el fondo de pantalla de la víctima también se cambia para alertar sobre la infección.
Fondo de pantalla y nota de rescate (Trend Micro)Otras variantes
Trend Micro también analizó dos variantes más de Big Head, destacando algunas diferencias clave en comparación con la versión estándar del ransomware.
La segunda variante mantiene las capacidades de ransomware, pero también incorpora un comportamiento de stealer con funciones para recopilar y filtrar datos confidenciales del sistema de la víctima.
Los datos que esta versión de Big Head puede robar incluyen el historial de navegación, la lista de directorios, los controladores instalados, los procesos en ejecución, la clave del producto y las redes activas, y también puede hacer capturas de pantalla.
Rutina de infección de segunda variante (Trend Micro)
La tercera variante, descubierta por Trend Micro, presenta un infector de archivos identificado como "Neshta", que inserta código malicioso en los ejecutables del sistema violado.
Aunque el propósito exacto de esto no está claro, los analistas de Trend Micro especulan que podría ser para evadir la detección de mecanismos basados en firmas.
En particular, esta variante usa una nota de rescate y un fondo de pantalla diferentes de los otros dos, pero aún está vinculado al mismo actor de amenazas.
Rutina de infección de tercera variante (Trend Micro)Conclusión
Trend Micro comenta que Big Head no es una cepa de ransomware sofisticada, sus métodos de cifrado son bastante estándar y sus técnicas de evasión son fáciles de detectar.
Sin embargo, parece centrarse en los consumidores a los que se puede engañar con trucos fáciles (por ejemplo, una actualización falsa de Windows) o que tienen dificultades para comprender las medidas de seguridad necesarias para evitar los riesgos de ciberseguridad.
Las múltiples variantes en circulación sugieren que los creadores de Big Head están continuamente desarrollando y refinando el malware, experimentando con varios enfoques para ver cuál funciona mejor.
