Uma família de ransomware recém-descoberta chamada Big Head está enganando usuários desavisados, exibindo alertas falsos de atualização do Windows e instaladores do Microsoft Word. As empresas de segurança cibernética Fortinet e TrendMicro identificaram várias variantes desse ransomware, todas originárias de um único operador.
A Fortinet documentou duas variantes do Big Head em meados de junho. Ambos são projetados para criptografar arquivos nos dispositivos das vítimas para extorquir dinheiro. A empresa diz que o ransomware estreou em maio de 2023, com o invasor aparentemente distribuindo-o como um software falsificado. A primeira variante mostra um falso alerta de atualização do Windows que dura cerca de 30 segundos e fecha automaticamente. Isso é o suficiente para o invasor criptografar os arquivos.
Em seguida, ele abre uma nota de resgate contendo o endereço de e-mail do invasor, o ID do Telegram e o endereço da carteira Bitcoin. A segunda variante, entretanto, usa um arquivo PowerShell chamado “cry.ps1” para criptografia de arquivo. Quando os arquivos são criptografados, o invasor substitui o papel de parede do dispositivo pelo seu próprio contendo uma nota de resgate semelhante. Ele também abre uma nota de resgate separada com os mesmos detalhes.
A empresa de pesquisa também descobriu uma terceira variante de ransomware da mesma faixa do Big Head. Com base na carteira Bitcoin e nos endereços de e-mail, ele é distribuído pelo mesmo invasor. A Fortinet descobriu que surgiu na mesma época que Big Head, mas usou uma nota de resgate ligeiramente diferente. Essa variante criptografa arquivos e anexa o endereço de e-mail do invasor aos nomes dos arquivos. Ele também substitui o papel de parede da área de trabalho.
O ransomware Big Head aparentemente se originou na Indonésia
A TrendMicro publicou recentemente um relatório técnico sobre o Big Head, explicando sua metodologia de execução, semelhanças e diferenças entre suas variantes e “o impacto potencial dessas infecções quando abusadas para ataques”. A empresa analisou três amostras do ransomware e conseguiu vincular uma conta do YouTube ao invasor. A conta é chamada de “aplikasi premium cuma cuma”, que está em Bahasa (língua indonésia) e se traduz em “aplicativo premium de graça”.
A empresa de inteligência cibernética KELA disse separadamente ao BleepingComputer que o principal autor de Big Head provavelmente é de origem indonésia. Ele descobriu um usuário no Telegram com os mesmos nomes e avatares encontrados nas notas de resgate mencionadas. O ransomware em si não parece ser generalizado ou altamente sofisticado. Ele usa métodos de criptografia padrão e é bastante fácil de detectar, graças a técnicas de evasão ruins.
No entanto, os invasores geralmente atacam vítimas inocentes que são fáceis de enganar. Os cérebros por trás do Big Head ainda estão operando o ransomware, desenvolvendo e refinando-o continuamente. Eles estão experimentando várias abordagens para o ataque. Certifique-se sempre de baixar o software de fontes confiáveis, como a Microsoft Store oficial. Evite clicar em arquivos ou links suspeitos recebidos em e-mails de endereços desconhecidos.