חוקרי אבטחת סייבר ניתחו לאחרונה זן חדש של כופרה בשם Big Head, אשר עלול להתפשט באמצעות פרסום כוזב המקדם עדכוני Windows מזויפים ומתקיני Microsoft Word. שתי דוגמאות של הכופרה נותחו בעבר על ידי חברת אבטחת הסייבר Fortinet, שבדקה את וקטור ההדבקה וכיצד פועלת הכופרה. Trend Micro פרסמה דוח טכני על Big Head אשר טוען כי שתי הגרסאות והשלישית שהן דגמו, מקורן במפעיל יחיד שככל הנראה מתנסה בגישות שונות שמטרתן לייעל את מתקפות הסייבר.
כופרת Big Head הינה כופרת .NET המתקינה שלושה קבצים מוצפנים AES במערכת היעד: אחד משמש להפצת הנוזקה, אחר מיועד לתקשורת בוטים של Telegram והשלישי מצפין קבצים ומראה למשתמש התראת עדכון מזויפת ל- Windows. הכופרה מבצעת גם פעולות כמו יצירת מפתח הפעלה אוטומטי של הרישום, החלפת קבצים קיימים במידת הצורך, הגדרת תכונות קבצי מערכת והשבתת מנהל המשימות. לכל קורבן מוקצה מזהה ייחודי שאוחזר מספריית %appdata%\ID או שהוא נוצר באמצעות מחרוזת אקראית של 40 תווים. הכופרה מוחקת עותקי גיבוי כדי למנוע שחזור קל של המערכת לפני הצפנת הקבצים שהוצפנו והוספת סיומת .poop לשמות הקבצים. כמו כן, Big Head תסיים תהליכים כדי למנוע שיבוש בתהליך ההצפנה וכדי לפנות נתונים שהכופרה צריכה לנעול. ספריות Windows, סל המיחזור, Program Files, Temp, Program Data, Microsoft ו- App Data אינם מוצפנים כדי למנוע הפיכת המערכת לבלתי שמישה.
Trend Micro מצאה כי הכופרה בודקת אם היא פועלת על מכונה וירטואלית, מחפשת את שפת המערכת וממשיכה להצפנה רק אם היא לא מוגדרת כמערכת מחשוב של מדינה בחבר העמים (מדינות סובייטיות לשעבר). במהלך ההצפנה מציגה הכופרה מסך שמתיימר להיות עדכון לגיטימי של Windows. לאחר השלמת תהליך ההצפנה מוצגת הודעת הכופר וגם טפט שולחן העבודה של הקורבן משתנה כדי להתריע על הכופרה.
Trend Micro ניתחה גם שתי גרסאות Big Head נוספות והדגישה מספר הבדלים עיקריים בהשוואה לגרסה הסטנדרטית של הכופרה. הגרסה השנייה שומרת על יכולות כופר, אך גם משלבת גניבת מידע עם פונקציות לאיסוף והוצאת נתונים רגישים ממערכת המחשוב של הקורבן. הנתונים שגרסה זו של Big Head יכולה לגנוב הינם היסטוריית גלישה, רשימת ספריות, מנהלי התקנים, תהליכים רצים, מפתח מוצר והיא יכולה גם לצלם צילומי מסך. הגרסה השלישית, שהתגלתה על ידי Trend Micro כוללת גם הכנסה של קוד זדוני לקבצי הפעלה של מערכת המחשוב. למרות שהמטרה המדויקת לא ברורה, משערים האנליסטים של Trend Micro שהדבר נעשה לצורך התחמקות מגילוי המסתמך על מנגנונים מבוססי חתימה. יש לציין כי גרסה זו משתמשת בשטר כופר ובטפט שונים מהשניים האחרים, אך היא עדיין קשורה לאותו פושע סייבר.
Trend Micro ציינה כי Big Head אינה זן מתוחכם של כופרה היות ושיטות ההצפנה שלה די סטנדרטיות וטכניקות ההתחמקות שלה קלות לזיהוי. עם זאת, נראה שהכופרה מתמקדת במשתמשים אותן ניתן לרמות בקלות (למשל באמצעות הודעה מזויפת על עדכון מערכת ההפעלה Windows), או משתמשים המתקשים להבין את אמצעי ההגנה הדרושים כדי להתרחק ולהימנע מסיכוני אבטחת סייבר.
הגרסאות המרובות מצביעות על כך שהיוצרים של Big Head מפתחים ומשכללים ללא הרף את הכופרה ומתנסים בגישות שונות כדי לראות מה עובד הכי טוב.
