Una familia de ransomware recientemente descubierta llamada Big Head está engañando a los usuarios desprevenidos al mostrar alertas de actualización de Windows falsas e instaladores de Microsoft Word. Las firmas de ciberseguridad Fortinet y TrendMicro han identificado varias variantes de este ransomware, todas originadas por un solo operador.
Fortinet documentó dos variantes de Big Head a mediados de junio. Ambos están diseñados para cifrar archivos en los dispositivos de las víctimas para extorsionar dinero. La firma dice que el ransomware debutó en mayo de 2023, y aparentemente el atacante lo distribuyó como software falsificado. La primera variante muestra una alerta de actualización de Windows falsa que dura unos 30 segundos y se cierra automáticamente. Eso es suficiente para que el atacante cifre los archivos.
Luego procede a abrir una nota de rescate que contiene la dirección de correo electrónico del atacante, la identificación de Telegram y la dirección de la billetera de Bitcoin. Mientras tanto, la segunda variante utiliza un archivo PowerShell llamado «cry.ps1» para el cifrado de archivos. Cuando los archivos están encriptados, el atacante reemplaza el fondo de pantalla del dispositivo con el suyo propio que contiene una nota de rescate similar. También abre una nota de rescate separada con los mismos detalles.
La firma de investigación también descubrió una tercera variante de ransomware del mismo tipo que Big Head. Basado en la billetera Bitcoin y las direcciones de correo electrónico, es distribuido por el mismo atacante. Fortinet descubrió que apareció casi al mismo tiempo que Big Head, pero usó una nota de rescate ligeramente diferente. Esta variante cifra los archivos y agrega la dirección de correo electrónico del atacante a los nombres de los archivos. También reemplaza el fondo de escritorio.
El ransomware Big Head aparentemente se originó en Indonesia
TrendMicro publicó recientemente un informe técnico sobre Big Head, que explica su metodología de ejecución, las similitudes y diferencias entre sus variantes y «el impacto potencial de estas infecciones cuando se abusa de ellas para realizar ataques». La firma analizó tres muestras del ransomware y pudo vincular una cuenta de YouTube al atacante. La cuenta se llama «aplikasi premium cuma cuma», que está en bahasa (idioma indonesio) y se traduce como «aplicación premium gratis».
La firma de ciberinteligencia KELA le dijo por separado a BleepingComputer que el autor principal de Big Head probablemente sea de origen indonesio. Descubrió a un usuario en Telegram con los mismos nombres y avatares que los que se encuentran en las notas de rescate antes mencionadas. El ransomware en sí no parece estar muy extendido ni ser muy sofisticado. Utiliza métodos de encriptación estándar y es bastante fácil de detectar, gracias a técnicas de evasión deficientes.
Sin embargo, los atacantes suelen abalanzarse sobre víctimas desprevenidas que son fáciles de engañar. Los cerebros detrás de Big Head todavía están operando el ransomware, desarrollándolo y refinándolo continuamente. Están experimentando con varios enfoques para el ataque. Siempre asegúrese de descargar el software de fuentes confiables, como la tienda oficial de Microsoft. Evite hacer clic en archivos sospechosos o enlaces recibidos en correos electrónicos de direcciones desconocidas.