Onderzoekers zijn een nieuwe ransomware-familie genaamd Big Head, op het spoor. De nieuwe familie zou opgebouwd en verspreid worden via één hacker, die de aanval beetje bij beetje gevaarlijker maakt. Big Head kan schade aanrichten op Windows-toestellen.
Cyberbeveiligingsonderzoekers hebben nieuwe ransomware gevonden in een valse Windows-update en een zogenaamd installatieproces van Microsoft Word. Het gaat om de ransomware Big Head. Fortinet lijkt de familie als eerste gespot te hebben en bracht een rapport uit op 16 juni.
Trend Micro vulde op 7 juli de bevindingen aan met een nieuwe variant. Zo zijn er momenteel drie varianten van Big Head bekend. De eerste versie van Big Head stamt volgens de experten uit mei 2023. Volgens het rapport sleutelt de hacker nog aan de ransomware en geven de verschillende varianten optimalisatiemogelijkheden.
Tip: Hoe ransomware de sterspeler van cybercrime is geworden
Filtert op locatie
Als gebruiker zijn er geen duidelijke sporen van inbraak voordat de ransomware zich verspreidt. Big Head versleutelt bestanden terwijl een legitiem-ogend laadscherm van een Windows Update opduikt. Eens de update finaliseert, zijn de bestanden en kopieën versleutelt en is taakbeheer ontoegankelijk. Tot slot krijgt de gebruiker een duidelijk signaal van de inbreuk via een nieuwe wallpaper met de titel: ‘Big Head ransomware’.
De hacker vraagt zelf één bitcoin te doneren en geeft een link naar zijn digitale portemonnee. Verder krijgt het slachtoffer een e-mailadres en Telegram-account om contact op te nemen met de hacker. De wallpaper zie je hieronder.
Bron: Trend Micro
Van de ransomware-problemen die Big Head oplevert, worden inwoners van voormalige lidstaten van de Sovjet-Unie gespaard. Volgens Trend Micro controleert de nieuwe dreiging namelijk de systeemtaal en zal de ransomware zich niet verspreiden bij Windows-gebruikers die wonen in een voormalig lidstaat van de Sovjet-Unie.
Optimalisatie maakt Big Head sterker
Een variant op de ransomware steelt ook data van het geïnfecteerde toestel. Het gaat dan om de volgende gegevens: zoekgeschiedenis, mappen, geïnstalleerde drivers, running-processen, de productsleutel, actieve netwerken en de ransomware kan screenshots nemen.
De laatste bekende variant maakt meer schade in het getroffen toestel door kwaadaardige code in uitvoerbare bestanden te injecteren. Onderzoekers bij Trend Micro denken het nut hiervan te hebben ontdekt. Zij geloven dat de toevoeging van de geïnfecteerde code voorkomt dat de ransomware detecteerbaar is.
Onbekende aanvaller
Wie de hacker is, blijft voorlopig onbekend. De hacker kan zelf woonachtig zijn in een land dat onderdeel is geweest van de Sovjet-Unie. Trend Micro zoekt dan weer eerder in de richting van Maleisië. In hun onderzoek stuitten de experten van dit cyberbeveiligingsbedrijf op een YouTube-kanaal dat dezelfde afbeelding gebruikt als in de wallpaper van geïnfecteerde toestellen. De experten vonden het kanaal door onderzoek te voeren naar het Telegram-account. Het YouTube-kanaal opereert onder de naam ‘aplikasi premium cuma cuma’, wat Maleis zou zijn voor ‘gratis premium-app’.
De locatiefilter kan natuurlijk ook ingesteld zijn vanuit pro-Russische gedachten. Sinds de oorlog tussen Rusland en Oekraïne ondervinden organisaties en overheden die Oekraïne steunen steeds meer cyberdreigingen. De Europese Investeringsbank is bijvoorbeeld al het slachtoffer geworden van KillNet. Een DDoS-aanval haalde de websites van deze organisatie offline. Een ander bekend collectief dat Rusland helpt met het voeren van een digitale oorlog is LockBit. De groep had vorige week een zeer productieve week en peuterde bedrijfsinformatie van TSMC los en legde de grootste haven van Japan stil.
Lees ook: KillNet haalt Europese Investeringsbank offline: wie is deze groep?
Schade enorm, als hacker ingang vindt
Big Head is in feite een bedreiging voor alle Windows-systemen. Natuurlijk moet de malware daarvoor wel tot bij de gebruiker van het systeem komen. Dat gebeurt volgens Fortinet via een e-mail waarin de gebruiker wordt opgelegd een belangrijke Windows-update uit te voeren of zich voordoet als het installatieprogramma voor Microsoft Word. In beide gevallen gaat het om uitvoerbare bestanden. Met de juiste variant kan de malware detectietools op het systeem omzeilen.
Trend Micro is in zijn analyse niet erg onder de indruk van de malware. “De malware-ontwikkelaars lieten herkenbare strings achter, gebruikten voorspelbare codeermethoden of implementeerden zwakke of gemakkelijk detecteerbare ontwijkingstechnieken, naast andere ‘fouten’.” Toch vraagt het aan organisaties om de ogen open te houden voor de malware. De onderzoekers vrezen voornamelijk voor de gevolgen die de nieuwe varianten van Big Head kunnen aanrichten.
16 uur geleden
