Big Head: il nuovo ransomware multi-funzionale in rapida diffusione

Un nuovo tipo di ransomware in sviluppo, chiamato Big Head, è in distribuzione attraverso una campagna di malvertising. Questa campagna sfrutta false notifiche di aggiornamenti di Microsoft Windows e di installazioni di Word. Big Head è stato identificato per la prima volta dal laboratorio di Fortinet FortiGuard il mese scorso. In quella occasione, sono state scoperte diverse varianti del ransomware, tutte progettate per criptare i file presenti sui dispositivi delle vittime in cambio di un pagamento in criptovalute.

Modus operandi del Big Head

Alcune varianti del ransomware Big Head simulano un falso aggiornamento di Windows. Una delle varianti presenta un'icona di Microsoft Word e sembra sia stata distribuita come software contraffatto. La maggior parte dei campioni di Big Head raccolti finora proviene dagli Stati Uniti, dalla Spagna, dalla Francia e dalla Turchia.

Struttura interna e funzionalità del Big Head

In un'analisi recente del ransomware basato su .NET, Trend Micro ha esaminato in dettaglio le sue funzionalità. Il malware è in grado di rilasciare tre binari crittografati: 1.exe per diffondere il malware, archive.exe per facilitare le comunicazioni via Telegram e Xarch.exe per criptare i file e simulare un falso aggiornamento di Windows. Big Head, come altre famiglie di ransomware, elimina i backup, interrompe vari processi e verifica se sta funzionando in un ambiente virtualizzato prima di criptare i file. Inoltre, disabilita il Task Manager per impedire agli utenti di interrompere o esaminare i suoi processi e si autodistrugge se la lingua della macchina corrisponde a quella di alcune nazioni dell'ex Unione Sovietica.

Varianti e identità dell'attore della minaccia

Trend Micro ha rilevato una seconda traccia di Big Head con comportamenti sia di ransomware che di ladro, quest'ultimo sfrutta lo strumento open-source WorldWind Stealer per raccogliere la cronologia del browser web, liste di directory, processi in esecuzione, chiave del prodotto e reti. È stata inoltre scoperta una terza variante di Big Head che include un infezione di file chiamata Neshta, utilizzata per inserire codice maligno nei file eseguibili sul host infetto. L'identità dell'attore della minaccia dietro Big Head non è attualmente nota, ma è stato individuato un canale YouTube con il nome "aplikasi premium cuma cuma", che suggerisce un possibile avversario di origine indonesiana. Il team di ricerca di Trend Micro conclude sottolineando l'importanza per le squadre di sicurezza di restare preparate di fronte alle diverse funzionalità di questo malware.