Il malware Burntcigar funziona in tandem con il ransomware
Burntcigar è uno strumento malware che viene spesso utilizzato dai criminali informatici negli attacchi ransomware, in particolare insieme alla variante ransomware Cuba. Burntcigar ricerca attivamente i nomi dei processi che sembrano essere collegati a software antivirus (AV) o di rilevamento e risposta endpoint (EDR) ampiamente riconosciuti. Successivamente incorpora gli ID di processo corrispondenti di questi processi identificati in una coda per la terminazione in una fase successiva del suo funzionamento.
I criminali informatici utilizzano regolarmente questo software dannoso con l'obiettivo specifico di eseguire attacchi ransomware, con particolare attenzione all'infiltrazione negli ambienti informatici di vittime ignare.
Burntcigar presenta una modalità operativa intelligente, che include lo sfruttamento delle vulnerabilità riscontrate all'interno di prodotti antivirus e di rilevamento e risposta endpoint (EDR) consolidati. Una delle sue strategie più importanti prevede il targeting deliberato dei processi associati a queste soluzioni di sicurezza, seguito dall'aggiunta dei relativi ID di processo a un elenco per la terminazione. Questa mossa strategica porta alla fine alla disattivazione di misure di sicurezza vitali sulle macchine compromesse.
Inoltre, Burntcigar è noto per la sua capacità di compromettere l'integrità dei sistemi informatici sfruttando i driver dei dispositivi ed eseguendo codice dannoso. In occasioni specifiche è stato osservato sfruttare le vulnerabilità del driver anti-rootkit Avast, garantendo così l'accesso non autorizzato ai sistemi presi di mira.
Oltre a questi exploit, è stato documentato che il malware utilizza file BAT (Batch) come mezzo per installare driver non sicuri, creando così un punto di ingresso per attività malevole orchestrate da aggressori informatici. Le potenziali conseguenze derivanti dall'incontro con Burntcigar o ceppi di malware simili sono notevoli e possono avere ripercussioni di vasta portata.
In primo luogo, le vittime potrebbero subire una grave perdita di dati poiché il malware crittografa i file, rendendoli inaccessibili senza una chiave di decrittazione. Inoltre, esiste un notevole rischio di perdite finanziarie, poiché gli aggressori richiedono regolarmente un riscatto in cambio della chiave di decrittazione. Ciò, a sua volta, funge da incentivo per i criminali informatici e amplifica ulteriormente i rischi associati.
Come può il malware aggirare le soluzioni antivirus?
Gli sviluppatori di malware adattano e utilizzano continuamente varie tecniche per eludere il rilevamento da parte delle soluzioni antivirus. Sebbene il software antivirus sia progettato per rilevare e rimuovere malware, non è infallibile. Ecco diversi modi in cui il malware può aggirare le soluzioni antivirus:
Codice polimorfico: il malware può utilizzare codice polimorfico, che cambia aspetto ogni volta che infetta un nuovo sistema. Ciò rende difficile per il software antivirus riconoscere la firma o i modelli di comportamento del malware.
Crittografia: il malware può crittografare il proprio codice o la propria comunicazione in modo che appaiano come dati innocui. Si decripta da solo solo quando viene eseguito, rendendo difficile per i programmi antivirus ispezionare il payload.
Offuscamento del codice: gli autori di malware possono offuscare il proprio codice per renderlo più complesso e difficile da analizzare. Ciò può includere l'uso di tecniche di compressione o offuscamento che oscurano il vero intento del malware.
Malware senza file: il malware senza file opera in memoria senza lasciare traccia nel file system, rendendo difficile il software antivirus che si basa sulla scansione dei file.
Exploit zero-day: il malware può sfruttare le vulnerabilità del software o dei sistemi operativi che non sono ancora note ai fornitori di antivirus. Questi exploit zero-day consentono al malware di infettare i sistemi prima che siano disponibili aggiornamenti o patch di sicurezza.
Tecniche rootkit: i rootkit possono nascondere malware alterando le funzioni e le API a livello di sistema, rendendo difficile per il software antivirus rilevarli o rimuoverli.
Caricamento dinamico: il malware può caricare dinamicamente codice dannoso nei processi legittimi, facendo sembrare che il processo legittimo si comporti normalmente durante l'esecuzione di azioni dannose.