A Burntcigar malware együtt működik a Ransomware-rel
A Burntcigar egy rosszindulatú program, amelyet a kiberbűnözők gyakran használnak ransomware-támadásokhoz, különösen a kubai ransomware-változattal együtt. A Burntcigar aktívan keresi a folyamatneveket, amelyek úgy tűnik, hogy a széles körben elismert víruskereső (AV) vagy végpont-észlelő és válasz (EDR) szoftverhez kapcsolódnak. Ezt követően ezeknek az azonosított folyamatoknak a megfelelő folyamatazonosítóit beépíti egy sorba, hogy működésének egy későbbi szakaszában leálljon.
A számítógépes bûnözõk rendszeresen telepítik ezt a rosszindulatú szoftvert azzal a céllal, hogy zsarolóprogram-támadásokat hajtsanak végre, különös hangsúlyt fektetve a gyanútlan áldozatok számítógépes környezetébe való behatolásra.
A Burntcigar okos működési módot mutat, amely magában foglalja a jól bevált vírusirtó és végpontészlelési és válaszadási (EDR) termékekben található sebezhetőségek kihasználását. Az egyik figyelemre méltó stratégiája az ezekhez a biztonsági megoldásokhoz kapcsolódó folyamatok szándékos célzása, majd a folyamatazonosítóik hozzáadása a listához a leállítás céljából. Ez a stratégiai lépés végül a létfontosságú biztonsági intézkedések deaktiválásához vezet a kompromittált gépeken.
Ezen túlmenően a Burntcigar elismert azon képességéről, hogy kompromittálja a számítógépes rendszerek integritását az eszközvezérlők kihasználásával és rosszindulatú kódok futtatásával. Bizonyos esetekben megfigyelték, hogy kihasználja az Avast anti-rootkit illesztőprogram sebezhetőségét, ezáltal jogosulatlan hozzáférést biztosít a célrendszerekhez.
Ezeken a kizsákmányolásokon kívül a rosszindulatú programról dokumentálták, hogy BAT (Batch) fájlokat használ a nem biztonságos illesztőprogramok telepítésére, ezáltal belépési pontot teremtve a kibertámadók által szervezett rosszindulatú tevékenységekhez. A Burntcigar vagy hasonló rosszindulatú programtörzsekkel való találkozás lehetséges következményei jelentősek, és messzemenő következményekkel járhatnak.
Elsősorban az áldozatok jelentős adatvesztést tapasztalhatnak, mivel a rosszindulatú program titkosítja a fájlokat, így azok elérhetetlenné válnak dekódoló kulcs nélkül. Ezenkívül fennáll a pénzügyi veszteségek jelentős kockázata, mivel a támadók rendszeresen váltságdíjat követelnek a visszafejtési kulcsért cserébe. Ez viszont ösztönzésül szolgál a kiberbűnözők számára, és tovább növeli a kapcsolódó kockázatokat.
Hogyan kerülhetik meg a rosszindulatú programok a víruskereső megoldásokat?
A rosszindulatú programok fejlesztői folyamatosan alkalmazkodnak és különféle technikákat alkalmaznak, hogy elkerüljék a víruskereső megoldások általi észlelést. Noha a víruskereső szoftvert úgy tervezték, hogy észleli és eltávolítsa a rosszindulatú programokat, nem bolondbiztos. Íme néhány módja annak, hogy a rosszindulatú programok megkerüljék a víruskereső megoldásokat:
Polimorf kód: A rosszindulatú programok polimorf kódot használhatnak, amely minden alkalommal megváltoztatja a megjelenését, amikor új rendszert fertőz meg. Ez kihívást jelent a víruskereső szoftver számára, hogy felismerje a rosszindulatú program aláírását vagy viselkedési mintáit.
Titkosítás: A rosszindulatú programok titkosíthatják kódjukat vagy kommunikációját, hogy ártalmatlan adatként jelenjenek meg. Csak végrehajtáskor dekódolja magát, ami megnehezíti a víruskereső programok számára a hasznos terhelés ellenőrzését.
Kódzavarás: A rosszindulatú programok készítői elhomályosíthatják kódjukat, hogy bonyolultabbá és nehezebben elemezhetővé tegyék. Ez magában foglalhatja olyan csomagolási vagy elhomályosító technikák használatát, amelyek elfedik a rosszindulatú program valódi szándékát.
Fájl nélküli rosszindulatú programok: A fájl nélküli rosszindulatú programok a memóriában működnek anélkül, hogy nyomot hagynának a fájlrendszerben, ami kihívást jelent a fájlellenőrzésen alapuló víruskereső szoftverek számára.
Zero-Day Exploits: A rosszindulatú programok kihasználhatják a szoftverek vagy operációs rendszerek olyan sebezhetőségeit, amelyeket a víruskereső gyártók még nem ismernek. Ezek a nulladik napi kizsákmányolások lehetővé teszik a rosszindulatú programok számára, hogy megfertőzzék a rendszereket, mielőtt a biztonsági frissítések vagy javítások elérhetővé válnának.
Rootkit technikák: A rootkitek elrejthetik a rosszindulatú programokat a rendszerszintű funkciók és API-k megváltoztatásával, megnehezítve a víruskereső szoftverek észlelését vagy eltávolítását.
Dinamikus betöltés: A rosszindulatú programok dinamikusan tölthetnek be rosszindulatú kódot a törvényes folyamatokba, így úgy tűnik, mintha a legitim folyamat normálisan viselkedne rosszindulatú műveletek végrehajtása közben.