L’aspetto sempre più evoluto delle minacce informatiche ha portato alla luce un nuovo tipo di ransomware, denominato “Big Head“.
Secondo i ricercatori di sicurezza di Trend Micro e FortiGuard Labs, Big Head ransomware si maschera come un aggiornamento di Windows per evitare il rilevamento e colpire i suoi obiettivi.
Le prime attività di Big Head ransomware risalgono a maggio 2023 e finora sono state individuate tre varianti.
Questo ransomware è distribuito principalmente attraverso pubblicità malevole (o malvertising) che si spacciano per aggiornamenti di Windows o installer di Word.
Modalità di distribuzione e funzionamento
Analizzando il funzionamento del ransomware, gli esperti hanno rilevato che Big Head installa tre file nel sistema compromesso.
- Il primo, “1.exe“, contiene una copia del malware e viene usato per diffonderlo nella rete di dispositivi;
- il secondo, “Archive.exe“, è un bot Telegram utilizzato per stabilire una connessione con gli aggressori;
- mentre il terzo, “Xarch.exe“, è responsabile della crittografia dei file del sistema e della visualizzazione di una schermata di aggiornamento finta, per ingannare l’utente e far credere che il processo sia legittimo.
Il file 1.exe contiene anche una nota di riscatto con l’indirizzo email da contattare per negoziare il pagamento. Una volta completato il processo di cifratura, Big Head modifica lo sfondo del desktop dell’utente con un’immagine che fornisce istruzioni su come contattare i criminali e procedere al pagamento del riscatto.
Le altre due varianti del ransomware agiscono in maniera simile, anche se presentano funzionalità aggiuntive. Una di queste è in grado di raccogliere dati sensibili e inviarli all’attaccante, mentre l’altra incorpora Neshta, un virus che attacca gli eseguibili del sistema target.
Nonostante il lancio di tre diverse varianti in un breve lasso di tempo, i ricercatori affermano che Big Head presenta tecniche di cifratura prevedibili e tecniche di evasione deboli. Questo suggerisce che il gruppo o l’individuo dietro Big Head potrebbe essere ancora inesperto.
Il ransomware Big Head continua ad evolversi, presentandosi in diverse forme uniche.
In una variante, il malware inserisce un backdoor nella sua catena di infezione, offrendo agli aggressori un accesso remoto aggiuntivo al sistema compromesso. Questo moltiplica le potenziali minacce per la vittima, poiché gli aggressori possono eseguire ulteriori azioni dannose anche dopo l’attacco iniziale del ransomware.
Ulteriori indagini hanno rivelato che l’autore principale del ransomware potrebbe essere di origine indonesiana. Nonostante le indagini, le origini esatte del gruppo dietro al ransomware Big Head rimangono incerte.
L’intelligence cybersecurity di KELA ha individuato un utente su Telegram che ha utilizzato gli stessi nomi e l’avatar presente nella nota del riscatto. Infatti, sembra che il gruppo dietro il ransomware Big Head utilizzi sia la posta elettronica che Telegram per comunicare con le vittime.
Proteggersi dal Ransomware
Per difendersi efficacemente dal ransomware come Big Head, è fondamentale adottare una serie di misure preventive.
Innanzitutto, è essenziale mantenere tutti i sistemi e i software aggiornati, poiché gli aggressori spesso sfruttano le vulnerabilità note per infiltrarsi nei sistemi. L’installazione di un affidabile software antivirus/antimalware e il suo regolare aggiornamento, può contribuire a identificare e bloccare le minacce prima che possano causare danni.
Inoltre, è fondamentale fare backup regolari dei dati importanti e conservarli in luoghi sicuri e disconnessi dalla rete principale. In caso di attacco da ransomware, i backup possono aiutare a ripristinare i dati senza dover pagare un riscatto.
Infine, in caso di attacco, è importante non pagare il riscatto richiesto. Non esiste alcuna garanzia che i dati saranno recuperati anche dopo il pagamento, e il finanziamento di queste attività può solo incoraggiare ulteriori attacchi criminali. Se si diventa vittime di un attacco da ransomware, è importante contattare immediatamente le autorità locali e un professionista della sicurezza informatica.
Nonostante la relativa semplicità del ransomware, i ricercatori invitano gli utenti a fare attenzione e a scaricare gli aggiornamenti solo dal sito ufficiale del vendor.
Sfortunatamente, l’Italia figura tra i paesi colpiti da questo agente malevolo.
Tuttavia, la diffusione di Big Head non è ancora molto estesa.
Per proteggere i propri sistemi, gli utenti dovrebbero mantenere elevata l’attenzione, aggiornare regolarmente i propri software e sistemi operativi, e utilizzare soluzioni antivirus affidabili. Infine, è sempre consigliabile fare backup regolari dei propri dati, per proteggersi contro eventuali attacchi ransomware.
- Autore articolo
- Gli ultimi articoli
Sono CTO, socio della società Onorato Informatica e il Direttore del Security Operations Center.
Aiuto le imprese e i professionisti a progettare e implementare servizi di sicurezza informatica e a difendersi dagli attacchi informatici di hacker e virus.
Da oltre vent’anni mi occupo di linguaggi di programmazione: C, C++, C#, VB.NET, HTML, PHP e JAVA. Dirigo lo sviluppo e la gestione soluzioni di sicurezza informatica per aziende e enti tramite servizi di Web Security, Network Security, Anti-DDoS, Intrusion Prevention Systems, Perimeter Security, Network Segmentation, Security Information and Event Management, Threat and Vulnerability Management.
A differenza delle classiche soluzioni di sicurezza informatica, noi lavoriamo con servizi sviluppati internamente ad alte performance; utilizziamo solo tecnologie esclusive e certificate.
Inoltre, negli ultimi 10 anni ci siamo specializzati nella pianificazione, progettazione e implementazione dei servizi di Vulnerability Assessment e Penetration Test di sistemi e infrastrutture, comprese WebApp, Mobile e IoT.