Το κακόβουλο λογισμικό Burntcigar λειτουργεί παράλληλα με το Ransomware

Το Burntcigar είναι ένα εργαλείο κακόβουλου λογισμικού που χρησιμοποιείται συχνά από εγκληματίες του κυβερνοχώρου σε επιθέσεις ransomware, ιδιαίτερα σε συνδυασμό με την παραλλαγή του ransomware της Κούβας. Το Burntcigar αναζητά ενεργά ονόματα διεργασιών που φαίνεται να συνδέονται με ευρέως αναγνωρισμένο λογισμικό προστασίας από ιούς (AV) ή λογισμικό εντοπισμού και απόκρισης τελικού σημείου (EDR). Στη συνέχεια, ενσωματώνει τα αντίστοιχα αναγνωριστικά διεργασιών αυτών των προσδιοριζόμενων διεργασιών σε μια ουρά για τερματισμό σε μεταγενέστερο στάδιο της λειτουργίας του.

Οι εγκληματίες του κυβερνοχώρου αναπτύσσουν τακτικά αυτό το κακόβουλο λογισμικό με συγκεκριμένο στόχο την εκτέλεση επιθέσεων ransomware, με ιδιαίτερη έμφαση στη διείσδυση στα υπολογιστικά περιβάλλοντα ανυποψίαστων θυμάτων.

Το Burntcigar παρουσιάζει έναν έξυπνο τρόπο λειτουργίας, ο οποίος περιλαμβάνει την εκμετάλλευση ευπαθειών που βρίσκονται σε καθιερωμένα προϊόντα προστασίας από ιούς και ανίχνευσης και απόκρισης τελικού σημείου (EDR). Μία από τις αξιοσημείωτες στρατηγικές της περιλαμβάνει τη σκόπιμη στόχευση διαδικασιών που σχετίζονται με αυτές τις λύσεις ασφαλείας, ακολουθούμενη από την προσθήκη των αναγνωριστικών διεργασιών τους σε μια λίστα για τερματισμό. Αυτή η στρατηγική κίνηση οδηγεί τελικά στην απενεργοποίηση των ζωτικών μέτρων ασφαλείας σε μηχανήματα που έχουν υποστεί βλάβη.

Επιπλέον, το Burntcigar αναγνωρίζεται για την ικανότητά του να θέτει σε κίνδυνο την ακεραιότητα των συστημάτων υπολογιστών εκμεταλλευόμενοι προγράμματα οδήγησης συσκευών και εκτελώντας κακόβουλο κώδικα. Σε συγκεκριμένες περιπτώσεις, έχει παρατηρηθεί ότι εκμεταλλεύεται τα τρωτά σημεία του προγράμματος οδήγησης anti-rootkit της Avast, παρέχοντας έτσι μη εξουσιοδοτημένη πρόσβαση σε στοχευμένα συστήματα.

Εκτός από αυτά τα exploits, το κακόβουλο λογισμικό έχει τεκμηριωθεί ότι χρησιμοποιεί αρχεία BAT (Batch) ως μέσο εγκατάστασης μη ασφαλών προγραμμάτων οδήγησης, δημιουργώντας έτσι ένα σημείο εισόδου για κακόβουλες δραστηριότητες που ενορχηστρώνονται από εισβολείς στον κυβερνοχώρο. Οι πιθανές συνέπειες που προκύπτουν από μια συνάντηση με το Burntcigar ή παρόμοια στελέχη κακόβουλου λογισμικού είναι σημαντικές και μπορεί να έχουν εκτεταμένες επιπτώσεις.

Κυρίως, τα θύματα ενδέχεται να αντιμετωπίσουν εκτεταμένη απώλεια δεδομένων καθώς το κακόβουλο λογισμικό κρυπτογραφεί αρχεία, καθιστώντας τα απρόσιτα χωρίς κλειδί αποκρυπτογράφησης. Επιπλέον, υπάρχει σημαντικός κίνδυνος οικονομικών απωλειών, καθώς οι εισβολείς απαιτούν συστηματικά λύτρα σε αντάλλαγμα για το κλειδί αποκρυπτογράφησης. Αυτό, με τη σειρά του, χρησιμεύει ως κίνητρο για τους εγκληματίες του κυβερνοχώρου και μεγεθύνει περαιτέρω τους σχετικούς κινδύνους.

Πώς μπορεί το κακόβουλο λογισμικό να παρακάμψει τις λύσεις προστασίας από ιούς;

Οι προγραμματιστές κακόβουλου λογισμικού προσαρμόζονται συνεχώς και χρησιμοποιούν διάφορες τεχνικές για να αποφύγουν τον εντοπισμό από λύσεις προστασίας από ιούς. Ενώ το λογισμικό προστασίας από ιούς έχει σχεδιαστεί για να ανιχνεύει και να αφαιρεί κακόβουλο λογισμικό, δεν είναι αλάνθαστο. Ακολουθούν διάφοροι τρόποι με τους οποίους το κακόβουλο λογισμικό μπορεί να παρακάμψει λύσεις προστασίας από ιούς:

Πολυμορφικός κώδικας: Το κακόβουλο λογισμικό μπορεί να χρησιμοποιήσει πολυμορφικό κώδικα, ο οποίος αλλάζει την εμφάνισή του κάθε φορά που μολύνει ένα νέο σύστημα. Αυτό καθιστά δύσκολο για το λογισμικό προστασίας από ιούς να αναγνωρίσει την υπογραφή ή τα πρότυπα συμπεριφοράς του κακόβουλου λογισμικού.

Κρυπτογράφηση: Το κακόβουλο λογισμικό μπορεί να κρυπτογραφήσει τον κώδικα ή την επικοινωνία του ώστε να εμφανίζονται ως αβλαβή δεδομένα. Αποκρυπτογραφείται μόνο όταν εκτελείται, γεγονός που καθιστά δύσκολο για τα προγράμματα προστασίας από ιούς να επιθεωρήσουν το ωφέλιμο φορτίο.

Συσκότιση κώδικα: Οι συντάκτες κακόβουλου λογισμικού μπορούν να θολώσουν τον κώδικά τους για να τον κάνουν πιο περίπλοκο και πιο δύσκολο στην ανάλυση. Αυτό μπορεί να περιλαμβάνει τη χρήση τεχνικών συσκευασίας ή συσκότισης που συγκαλύπτουν την πραγματική πρόθεση του κακόβουλου λογισμικού.

Κακόβουλο λογισμικό χωρίς αρχείο: Το κακόβουλο λογισμικό χωρίς αρχεία λειτουργεί στη μνήμη χωρίς να αφήνει αποτύπωμα στο σύστημα αρχείων, καθιστώντας το δύσκολο για το λογισμικό προστασίας από ιούς που βασίζεται στη σάρωση αρχείων.

Zero-Day Exploits: Το κακόβουλο λογισμικό μπορεί να εκμεταλλευτεί ευπάθειες σε λογισμικό ή λειτουργικά συστήματα που δεν είναι ακόμη γνωστά στους προμηθευτές προστασίας από ιούς. Αυτά τα exploits zero-day επιτρέπουν στο κακόβουλο λογισμικό να μολύνει συστήματα προτού διατίθενται ενημερώσεις ασφαλείας ή ενημερώσεις κώδικα.

Τεχνικές Rootkit: Τα Rootkit μπορούν να αποκρύψουν κακόβουλο λογισμικό αλλάζοντας τις λειτουργίες και τα API σε επίπεδο συστήματος, καθιστώντας δύσκολο τον εντοπισμό ή την κατάργησή τους από το λογισμικό προστασίας από ιούς.

Δυναμική φόρτωση: Το κακόβουλο λογισμικό μπορεί να φορτώσει δυναμικά κακόβουλο κώδικα σε νόμιμες διαδικασίες, κάνοντάς το να φαίνεται σαν η νόμιμη διαδικασία να συμπεριφέρεται κανονικά κατά την εκτέλεση κακόβουλων ενεργειών.