Trend Microはこのほど、「Tailing Big Head Ransomware’s Variants, Tactics, and Impact」において、「Big Head」と呼ばれているランサムウェアに関するレポートを公開した。3つのBig Headサンプルが分析されており、どれも偽のWindows UpdateまたはWordインストーラの不正広告を介して配布されている可能性があると報告されている。

  • Tailing Big Head Ransomware’s Variants、Tactics、and Impact

    Tailing Big Head Ransomware’s Variants, Tactics, and Impact

最初に分析されているサンプルは.NETでコンパイルされたバイナリファイルで、ターゲットのシステムに3つの暗号化されたファイルを投下することが確認されている。3つのファイルはそれぞれ異なる役割を担っており、マルウェアの伝播や脅威者のTelegramボットとの通信確立、ファイルの暗号化とユーザに偽のWindowsアップデートを表示などをそれぞれが実行することが判明している。

  • The infection routine of the first Big Head ransomware sample|Trend Micro

    The infection routine of the first Big Head ransomware sample|Trend Micro

2つ目のサンプルはランサムウェアの機能を有しつつ、被害者のシステムから機密データを流出させる機能を備えたインフォスティーラであることがわかった。同様に3つの悪意のある実行ファイルをドロップすることが確認されており、2つはランサムウェアの活動に使われ、残りの1つがインフォスティーラとして動作することが明らかにされている。

  • The infection routine of the second sample of the Big Head ransomware|Trend Micro

    The infection routine of the second sample of the Big Head ransomware|Trend Micro

3つ目のサンプルでは、侵入したシステムの実行可能ファイルに悪意のあるコードを挿入するマルウェアが組み込まれていることが確認されている。Trend Microに「Neshta」として識別されるこのマルウェアは、最終的なBig Headのペイロードをカモフラージュするテクニックとして使われていると判断されている。主にランサムウェアの検出に重点を置くセキュリティソリューションの優先順位をNeshtaにそらすために使われていると考えられている。

  • The infection routine of the third sample of the Big Head ransomware|Trend Micro

    The infection routine of the third sample of the Big Head ransomware|Trend Micro

Big Headによるランサムウェア攻撃はそれほど洗練されておらず、脅威や攻撃において新しいものはなかったと分析されている。ただし、多様な機能を持つサンプルが複数見つかっていることから、攻撃に対して注意するとともにセキュリティ対策を怠らないことが望まれている。