Burntcigar Malware arbejder sammen med ransomware

Burntcigar er et malware-værktøj, der ofte bruges af cyberkriminelle i ransomware-angreb, især i forbindelse med Cuba ransomware-varianten. Burntcigar søger aktivt efter procesnavne, der ser ud til at være forbundet med bredt anerkendt antivirus (AV) eller endpoint detection and response (EDR) software. Efterfølgende inkorporerer den de tilsvarende proces-ID'er for disse identificerede processer i en kø til afslutning på et senere trin i driften.

Cyberkriminelle implementerer regelmæssigt denne ondsindede software med det specifikke formål at udføre ransomware-angreb med særlig vægt på at infiltrere intetanende ofres computermiljøer.

Burntcigar udviser en smart driftsform, som omfatter udnyttelse af sårbarheder, der findes i veletablerede antivirus- og endpoint detection and response (EDR)-produkter. En af dens bemærkelsesværdige strategier involverer bevidst målretning af processer forbundet med disse sikkerhedsløsninger, efterfulgt af tilføjelse af deres proces-id'er til en liste til afslutning. Dette strategiske træk fører i sidste ende til deaktivering af vitale sikkerhedsforanstaltninger på kompromitterede maskiner.

Desuden er Burntcigar anerkendt for sin evne til at kompromittere computersystemernes integritet ved at udnytte enhedsdrivere og udføre skadelig kode. Ved specifikke lejligheder er det blevet observeret at udnytte sårbarhederne i Avast anti-rootkit-driveren og derved give uautoriseret adgang til målrettede systemer.

Ud over disse udnyttelser er malwaren blevet dokumenteret ved at bruge BAT-filer (Batch) som et middel til at installere usikre drivere og derved skabe et indgangspunkt for ondsindede aktiviteter orkestreret af cyberangribere. De potentielle konsekvenser af et møde med Burntcigar eller lignende malware-stammer er betydelige og kan resultere i vidtrækkende konsekvenser.

Primært kan ofre opleve omfattende datatab, da malwaren krypterer filer, hvilket gør dem utilgængelige uden en dekrypteringsnøgle. Desuden er der en betydelig risiko for økonomiske tab, da angribere rutinemæssigt kræver en løsesum i bytte for dekrypteringsnøglen. Dette tjener til gengæld som et incitament for cyberkriminelle og forstørrer de dermed forbundne risici yderligere.

Hvordan kan malware omgå antivirusløsninger?

Malware-udviklere tilpasser sig løbende og anvender forskellige teknikker til at undgå opdagelse af antivirusløsninger. Selvom antivirussoftware er designet til at opdage og fjerne malware, er det ikke idiotsikkert. Her er flere måder, hvorpå malware kan omgå antivirusløsninger:

Polymorf kode: Malware kan bruge polymorf kode, som ændrer dens udseende, hver gang den inficerer et nyt system. Dette gør det udfordrende for antivirussoftware at genkende malwarens signatur eller adfærdsmønstre.

Kryptering: Malware kan kryptere sin kode eller kommunikation for at fremstå som harmløse data. Den dekrypterer kun sig selv, når den udføres, hvilket gør det vanskeligt for antivirusprogrammer at inspicere nyttelasten.

Kodetilsløring: Malwareforfattere kan sløre deres kode for at gøre den mere kompleks og sværere at analysere. Dette kan omfatte brug af paknings- eller sløringsteknikker, der slører malwarens sande hensigt.

Filløs malware: Filløs malware fungerer i hukommelsen uden at efterlade et fodaftryk på filsystemet, hvilket gør det udfordrende for antivirussoftware, der er afhængig af filscanning.

Zero-Day Exploits: Malware kan drage fordel af sårbarheder i software eller operativsystemer, der endnu ikke er kendt af antivirusleverandører. Disse nul-dages udnyttelser tillader malware at inficere systemer, før sikkerhedsopdateringer eller patches er tilgængelige.

Rootkit-teknikker: Rootkits kan skjule malware ved at ændre funktioner og API'er på systemniveau, hvilket gør det vanskeligt for antivirussoftware at opdage eller fjerne dem.

Dynamisk indlæsning: Malware kan dynamisk indlæse ondsindet kode i legitime processer, så det ser ud som om den legitime proces opfører sig normalt, mens den udfører ondsindede handlinger.