Burntcigar-malware werkt samen met ransomware

Burntcigar is een malwaretool die vaak door cybercriminelen wordt gebruikt bij ransomware-aanvallen, vooral in combinatie met de Cuba-ransomwarevariant. Burntcigar zoekt actief naar procesnamen die verband lijken te houden met algemeen erkende antivirus- (AV) of eindpuntdetectie- en responssoftware (EDR). Vervolgens neemt het de corresponderende proces-ID's van deze geïdentificeerde processen op in een wachtrij voor beëindiging in een later stadium van de werking ervan.

Cybercriminelen zetten deze kwaadaardige software regelmatig in met het specifieke doel ransomware-aanvallen uit te voeren, met een bijzondere nadruk op het infiltreren van de computeromgeving van nietsvermoedende slachtoffers.

Burntcigar vertoont een slimme werkwijze, waaronder het exploiteren van kwetsbaarheden die worden aangetroffen in gevestigde antivirus- en eindpuntdetectie- en responsproducten (EDR). Een van de opmerkelijke strategieën omvat het doelbewust targeten van processen die verband houden met deze beveiligingsoplossingen, gevolgd door het toevoegen van hun proces-ID's aan een lijst voor beëindiging. Deze strategische zet leidt uiteindelijk tot het deactiveren van essentiële beveiligingsmaatregelen op aangetaste machines.

Bovendien wordt Burntcigar erkend vanwege zijn vermogen om de integriteit van computersystemen in gevaar te brengen door apparaatstuurprogramma's te misbruiken en kwaadaardige code uit te voeren. Bij specifieke gelegenheden is waargenomen dat misbruik werd gemaakt van de kwetsbaarheden van het anti-rootkitstuurprogramma van Avast, waardoor ongeoorloofde toegang tot gerichte systemen werd verleend.

Naast deze exploits is gedocumenteerd dat de malware BAT-bestanden (Batch) gebruikt als middel om onveilige stuurprogramma's te installeren, waardoor een toegangspunt wordt gecreëerd voor kwaadaardige activiteiten die door cyberaanvallers worden georkestreerd. De potentiële gevolgen die voortvloeien uit een ontmoeting met Burntcigar of vergelijkbare malwaresoorten zijn aanzienlijk en kunnen verstrekkende gevolgen hebben.

In de eerste plaats kunnen slachtoffers groot gegevensverlies ervaren omdat de malware bestanden versleutelt, waardoor ze ontoegankelijk worden zonder een decoderingssleutel. Bovendien bestaat er een aanzienlijk risico op financiële verliezen, omdat aanvallers routinematig losgeld eisen in ruil voor de decoderingssleutel. Dit is op zijn beurt een stimulans voor cybercriminelen en vergroot de daaraan verbonden risico’s verder.

Hoe kan malware antivirusoplossingen omzeilen?

Malware-ontwikkelaars passen voortdurend verschillende technieken aan en gebruiken deze om detectie door antivirusoplossingen te omzeilen. Hoewel antivirussoftware is ontworpen om malware te detecteren en te verwijderen, is deze niet onfeilbaar. Hier volgen verschillende manieren waarop malware antivirusoplossingen kan omzeilen:

Polymorfe code: Malware kan polymorfe code gebruiken, die telkens wanneer hij een nieuw systeem infecteert, van uiterlijk verandert. Dit maakt het voor antivirussoftware een uitdaging om de handtekening of gedragspatronen van de malware te herkennen.

Versleuteling: Malware kan de code of communicatie ervan versleutelen, zodat deze als onschadelijke gegevens verschijnt. Het decodeert zichzelf alleen wanneer het wordt uitgevoerd, waardoor het voor antivirusprogramma's moeilijk wordt om de lading te inspecteren.

Codeverduistering: Malware-auteurs kunnen hun code verduisteren om deze complexer en moeilijker te analyseren te maken. Dit kan het gebruik van packing- of verduisteringstechnieken omvatten die de ware bedoeling van de malware verdoezelen.

Bestandsloze malware: Bestandsloze malware werkt in het geheugen zonder een voetafdruk achter te laten op het bestandssysteem, wat een uitdaging vormt voor antivirussoftware die afhankelijk is van het scannen van bestanden.

Zero-Day Exploits: Malware kan misbruik maken van kwetsbaarheden in software of besturingssystemen die nog niet bekend zijn bij antivirusleveranciers. Deze zero-day exploits zorgen ervoor dat malware systemen kan infecteren voordat er beveiligingsupdates of patches beschikbaar zijn.

Rootkit-technieken: Rootkits kunnen malware verbergen door functies en API's op systeemniveau te wijzigen, waardoor het moeilijk wordt voor antivirussoftware om deze te detecteren of te verwijderen.

Dynamisch laden: Malware kan kwaadaardige code dynamisch in legitieme processen laden, waardoor het lijkt alsof het legitieme proces zich normaal gedraagt tijdens het uitvoeren van kwaadaardige acties.