Burntcigar マルウェアはランサムウェアと連携して動作します
Burntcigar は、サイバー犯罪者によるランサムウェア攻撃、特にキューバ ランサムウェア亜種と組み合わせて頻繁に利用されるマルウェア ツールです。 Burntcigar は、広く知られているウイルス対策 (AV) またはエンドポイント検出および応答 (EDR) ソフトウェアに関連していると思われるプロセス名を積極的に探します。その後、これらの識別されたプロセスの対応するプロセス ID をキューに組み込み、操作の後の段階で終了します。
サイバー犯罪者は、ランサムウェア攻撃を実行するという特定の目的を持って、この悪意のあるソフトウェアを定期的に展開しており、特に無防備な被害者のコンピューティング環境に侵入することに重点を置いています。
Burntcigar は、確立されたウイルス対策製品やエンドポイント検出と応答 (EDR) 製品内で見つかった脆弱性の悪用など、巧妙な動作モードを示します。その注目すべき戦略の 1 つは、これらのセキュリティ ソリューションに関連するプロセスを意図的にターゲットにし、その後、そのプロセス ID を終了リストに追加することです。この戦略的な動きは、最終的には、侵害されたマシン上の重要なセキュリティ対策の無効化につながります。
さらに、Burntcigar は、デバイス ドライバーを悪用し、悪意のあるコードを実行することにより、コンピューター システムの完全性を侵害する能力でも認識されています。特定の機会に、アバスト アンチルートキット ドライバーの脆弱性を悪用し、標的のシステムへの不正アクセスを許可することが観察されています。
これらのエクスプロイトに加えて、マルウェアは安全でないドライバーをインストールする手段として BAT (バッチ) ファイルを利用し、それによってサイバー攻撃者によって組織化された悪意のある活動のエントリー ポイントを作成することが文書化されています。 Burntcigar または類似のマルウェア株との遭遇によって生じる潜在的な影響は重大であり、広範囲にわたる影響をもたらす可能性があります。
主に、マルウェアがファイルを暗号化し、復号化キーがなければファイルにアクセスできなくなるため、被害者は広範囲のデータ損失を経験する可能性があります。さらに、攻撃者は日常的に復号キーと引き換えに身代金を要求するため、金銭的損失の大きなリスクが存在します。これは、サイバー犯罪者に対するインセンティブとして機能し、関連するリスクをさらに拡大します。
マルウェアはウイルス対策ソリューションをどのように回避できるのでしょうか?
マルウェア開発者は、ウイルス対策ソリューションによる検出を回避するために、さまざまな技術を継続的に適応および採用しています。ウイルス対策ソフトウェアはマルウェアを検出して削除するように設計されていますが、完全に安全というわけではありません。マルウェアがウイルス対策ソリューションを回避するいくつかの方法を次に示します。
ポリモーフィック コード:マルウェアはポリモーフィック コードを使用することができ、新しいシステムに感染するたびに外観が変わります。このため、ウイルス対策ソフトウェアがマルウェアのシグネチャや動作パターンを認識することが困難になります。
暗号化:マルウェアはコードや通信を暗号化して無害なデータのように見せることができます。実行時のみ復号化されるため、ウイルス対策プログラムがペイロードを検査することが困難になります。
コードの難読化:マルウェア作成者はコードを難読化して、コードをより複雑にし、分析を困難にすることができます。これには、マルウェアの真の意図を不明瞭にするパッキングまたは難読化技術の使用が含まれる場合があります。
ファイルレス マルウェア:ファイルレス マルウェアは、ファイル システムにフットプリントを残さずにメモリ内で動作するため、ファイル スキャンに依存するウイルス対策ソフトウェアにとって困難になります。
ゼロデイ エクスプロイト:マルウェアは、ウイルス対策ベンダーがまだ認識していないソフトウェアまたはオペレーティング システムの脆弱性を悪用する可能性があります。これらのゼロデイ エクスプロイトにより、セキュリティ アップデートやパッチが利用可能になる前にマルウェアがシステムに感染することが可能になります。
ルートキット手法:ルートキットはシステムレベルの機能や API を変更することでマルウェアを隠し、ウイルス対策ソフトウェアによるマルウェアの検出や削除を困難にすることができます。
動的読み込み:マルウェアは、悪意のあるコードを正規のプロセスに動的に読み込み、悪意のあるアクションの実行中に正規のプロセスが正常に動作しているように見せかけることができます。