FortiGuard Labs, “Big Head” ve muhtemelen aynı saldırgan tarafından kullanılan ve tüketicilerden para sızdırmayı hedefleyen başka bir fidye yazılımı olmak üzere iki yeni fidye yazılımı varyantıyla karşılaştı.
Bu varyant Mayıs 2023’te ortaya çıktı. Big Head fidye yazılımının en az üç varyantı olmasına rağmen, hepsi diğer fidye yazılımı varyantları gibi para sızdırmak için kurbanların makinelerindeki dosyaları şifrelemek üzere tasarlanmış.
Big Head fidye yazılımı örneklerinin çoğu Amerika Birleşik Devletleri’nden gönderilmiş. Aynı saldırgan tarafından kullanılan bir başka fidye yazılımı ise Amerika Birleşik Devletleri, İspanya, Fransa ve Türkiye’den gönderilmiş.
Big Head fidye yazılımının A ve B varyantları olarak adlandırılan en az iki varyantını tespit edildi.
A Varyantı
Big Head fidye yazılımı A varyantı çalıştırıldığında, kullanıcıları perde arkasında meşru eylemlerin gerçekleştiğine inandırmak için sahte bir Windows Update ekranı görüntülüyor. Sahte Windows Güncellemesi yaklaşık 30 saniye sürüyor ve otomatik olarak kapanıyor. Sahte güncelleme tamamlandığında, fidye yazılımı, dosya adları rastgele değiştirilmiş tehlikeye atılmış makinelerdeki dosyaları çoktan şifrelemiş oluyor.
Fidye yazılımı daha sonra “README_[rastgele yedi basamaklı sayı] etiketli bir fidye notu açıyor ve kurbanların dosya şifre çözme ve veri sızıntısı için e-posta veya Telegram yoluyla saldırganla iletişime geçmesini talep ediyor.
B Varyantı
Big Head fidye yazılımı B varyantı tehlikeye atılmış makinelerdeki dosyaları şifrelemek için tasarlanmış. Analizler, B varyantının dosya şifreleme için “cry.ps1” adlı bir PowerShell dosyası kullandığını ortaya çıkardı. B varyantı bazı durumlarda cry.ps1 dosyasını bırakmıyor ve dosya şifreleme gerçekleşmiyor. Ancak bu durum B varyantının masaüstü duvar kağıdını kendi fidye notu ile değiştirmesini engellemiyor. A varyantı gibi, fidye notu da kurbanların aynı e-posta adresini veya telegram kanalını kullanarak saldırganla iletişime geçmesini istiyor. Aradaki fark, B varyantı fidye notunda bir Bitcoin’lik bir fidye ücretinin yer alması. Fidye ücretinin nispeten düşük olması, Big Head fidye yazılımının işletmelerden ziyade tüketicileri hedef almak için kullanıldığını gösteriyor.
B varyantı ayrıca duvar kağıdı ile aynı fidye mesajını içeren “Önce Beni Oku!/txt” etiketli bir fidye notu bırakıyor.