Burntcigar Malware fungerer i Tandem med løsepengeprogramvare
Burntcigar er et skadelig programvareverktøy som ofte brukes av nettkriminelle i løsepengeangrep, spesielt i forbindelse med den Cuba løsepengevarevarianten. Burntcigar søker aktivt etter prosessnavn som ser ut til å være knyttet til allment anerkjent antivirus (AV) eller endepunktsdeteksjon og -respons (EDR) programvare. Deretter inkorporerer den de korresponderende prosess-ID-ene til disse identifiserte prosessene i en kø for avslutning på et senere stadium i driften.
Cyberkriminelle distribuerer regelmessig denne ondsinnede programvaren med det spesifikke målet å utføre løsepengevareangrep, med spesiell vekt på å infiltrere datamiljøene til intetanende ofre.
Burntcigar viser en smart driftsmodus, som inkluderer utnyttelse av sårbarheter som finnes i veletablerte antivirus- og endepunktsdeteksjons- og -svar-produkter (EDR). En av dens bemerkelsesverdige strategier involverer bevisst målretting av prosesser knyttet til disse sikkerhetsløsningene, etterfulgt av tillegg av deres prosess-IDer til en liste for avslutning. Dette strategiske grepet fører til slutt til deaktivering av viktige sikkerhetstiltak på kompromitterte maskiner.
Videre er Burntcigar anerkjent for sin kapasitet til å kompromittere integriteten til datasystemer ved å utnytte enhetsdrivere og utføre ondsinnet kode. Ved spesifikke anledninger har det blitt observert å utnytte sårbarhetene til Avast anti-rootkit-driveren, og dermed gi uautorisert tilgang til målrettede systemer.
I tillegg til disse utnyttelsene, har skadelig programvare blitt dokumentert ved å bruke BAT (Batch)-filer som et middel til å installere usikre drivere, og dermed skape et inngangspunkt for ondsinnede aktiviteter orkestrert av cyberangripere. De potensielle konsekvensene av et møte med Burntcigar eller lignende skadevarestammer er betydelige og kan resultere i vidtrekkende konsekvenser.
Primært kan ofre oppleve omfattende tap av data ettersom skadelig programvare krypterer filer, og gjør dem utilgjengelige uten en dekrypteringsnøkkel. Videre eksisterer det en betydelig risiko for økonomiske tap, ettersom angripere rutinemessig krever løsepenger i bytte for dekrypteringsnøkkelen. Dette tjener i sin tur som et insentiv for nettkriminelle og forstørrer de tilhørende risikoene ytterligere.
Hvordan kan skadelig programvare omgå antivirusløsninger?
Skadevareutviklere tilpasser seg kontinuerlig og bruker ulike teknikker for å unngå oppdagelse av antivirusløsninger. Selv om antivirusprogramvare er utviklet for å oppdage og fjerne skadelig programvare, er det ikke idiotsikkert. Her er flere måter som skadelig programvare kan omgå antivirusløsninger på:
Polymorf kode: Skadelig programvare kan bruke polymorf kode, som endrer utseendet hver gang den infiserer et nytt system. Dette gjør det utfordrende for antivirusprogramvare å gjenkjenne skadelig programvares signatur eller atferdsmønstre.
Kryptering: Skadelig programvare kan kryptere koden eller kommunikasjonen for å fremstå som harmløse data. Den dekrypterer seg selv bare når den kjøres, noe som gjør det vanskelig for antivirusprogrammer å inspisere nyttelasten.
Kodetilsløring: Skadevareforfattere kan tilsløre koden deres for å gjøre den mer kompleks og vanskeligere å analysere. Dette kan inkludere bruk av pakke- eller tilsløringsteknikker som skjuler skadevarens sanne hensikt.
Filløs skadelig programvare: Filløs skadelig programvare opererer i minnet uten å etterlate et fotavtrykk på filsystemet, noe som gjør det utfordrende for antivirusprogramvare som er avhengig av filskanning.
Zero-Day Exploits: Skadelig programvare kan dra nytte av sårbarheter i programvare eller operativsystemer som ennå ikke er kjent for antivirusleverandører. Disse nulldagers utnyttelsene lar skadevare infisere systemer før sikkerhetsoppdateringer eller oppdateringer er tilgjengelige.
Rootkit-teknikker: Rootkits kan skjule skadelig programvare ved å endre funksjoner og API-er på systemnivå, noe som gjør det vanskelig for antivirusprogramvare å oppdage eller fjerne dem.
Dynamisk lasting: Skadelig programvare kan dynamisk laste ondsinnet kode inn i legitime prosesser, slik at det ser ut som om den legitime prosessen oppfører seg normalt mens den utfører ondsinnede handlinger.
