Złośliwe oprogramowanie Burntcigar współpracuje z oprogramowaniem ransomware
Burntcigar to szkodliwe narzędzie często wykorzystywane przez cyberprzestępców w atakach ransomware, szczególnie w połączeniu z odmianą ransomware Cuba. Burntcigar aktywnie wyszukuje nazwy procesów, które wydają się być powiązane z powszechnie uznanym oprogramowaniem antywirusowym (AV) lub oprogramowaniem do wykrywania i reagowania na punkty końcowe (EDR). Następnie włącza odpowiednie identyfikatory zidentyfikowanych procesów do kolejki w celu zakończenia na późniejszym etapie swojego działania.
Cyberprzestępcy regularnie wdrażają to złośliwe oprogramowanie, którego konkretnym celem jest przeprowadzanie ataków typu ransomware, ze szczególnym naciskiem na infiltrację środowisk komputerowych niczego niepodejrzewających ofiar.
Burntcigar charakteryzuje się sprytnym sposobem działania, który obejmuje wykorzystanie luk w zabezpieczeniach uznanych produktów antywirusowych oraz produktów do wykrywania i reagowania na punkty końcowe (EDR). Jedna z godnych uwagi strategii obejmuje celowe celowanie w procesy powiązane z tymi rozwiązaniami bezpieczeństwa, a następnie dodanie ich identyfikatorów procesów do listy w celu zakończenia. To strategiczne posunięcie ostatecznie prowadzi do dezaktywacji kluczowych środków bezpieczeństwa na zaatakowanych komputerach.
Ponadto Burntcigar jest znany ze swojej zdolności do naruszania integralności systemów komputerowych poprzez wykorzystywanie sterowników urządzeń i wykonywanie złośliwego kodu. Zaobserwowano, że w określonych przypadkach program ten wykorzystywał luki w zabezpieczeniach sterownika antyrootkitowego Avast, zapewniając w ten sposób nieautoryzowany dostęp do docelowych systemów.
Oprócz tych exploitów udokumentowano, że szkodliwe oprogramowanie wykorzystuje pliki BAT (wsadowe) do instalowania niebezpiecznych sterowników, tworząc w ten sposób punkt wejścia dla złowrogich działań zorganizowanych przez cyberprzestępców. Potencjalne konsekwencje wynikające ze spotkania z Burntcigar lub podobnymi odmianami złośliwego oprogramowania są znaczne i mogą mieć daleko idące konsekwencje.
Przede wszystkim ofiary mogą doświadczyć znacznej utraty danych, ponieważ złośliwe oprogramowanie szyfruje pliki, czyniąc je niedostępnymi bez klucza deszyfrującego. Ponadto istnieje znaczne ryzyko strat finansowych, ponieważ napastnicy rutynowo żądają okupu w zamian za klucz deszyfrujący. To z kolei stanowi zachętę dla cyberprzestępców i jeszcze bardziej zwiększa związane z tym ryzyko.
W jaki sposób złośliwe oprogramowanie może ominąć rozwiązania antywirusowe?
Twórcy złośliwego oprogramowania stale dostosowują się i wykorzystują różne techniki, aby uniknąć wykrycia przez rozwiązania antywirusowe. Chociaż oprogramowanie antywirusowe ma na celu wykrywanie i usuwanie złośliwego oprogramowania, nie jest niezawodne. Oto kilka sposobów, w jaki złośliwe oprogramowanie może ominąć rozwiązania antywirusowe:
Kod polimorficzny: Złośliwe oprogramowanie może wykorzystywać kod polimorficzny, który zmienia swój wygląd za każdym razem, gdy infekuje nowy system. Utrudnia to oprogramowaniu antywirusowemu rozpoznanie sygnatur lub wzorców zachowań szkodliwego oprogramowania.
Szyfrowanie: złośliwe oprogramowanie może szyfrować swój kod lub komunikację, aby wyglądać jak nieszkodliwe dane. Odszyfrowuje się sam dopiero po uruchomieniu, co utrudnia programom antywirusowym sprawdzenie ładunku.
Zaciemnianie kodu: autorzy złośliwego oprogramowania mogą zaciemniać swój kod, aby uczynić go bardziej złożonym i trudniejszym do analizy. Może to obejmować stosowanie technik pakowania lub zaciemniania, które przesłaniają prawdziwe zamiary złośliwego oprogramowania.
Złośliwe oprogramowanie bezplikowe: złośliwe oprogramowanie bezplikowe działa w pamięci, nie pozostawiając śladu w systemie plików, co stanowi wyzwanie dla oprogramowania antywirusowego opierającego się na skanowaniu plików.
Exploity dnia zerowego: złośliwe oprogramowanie może wykorzystywać luki w oprogramowaniu lub systemach operacyjnych, które nie są jeszcze znane producentom oprogramowania antywirusowego. Te exploity dnia zerowego umożliwiają złośliwemu oprogramowaniu infekowanie systemów przed udostępnieniem aktualizacji lub poprawek zabezpieczeń.
Techniki rootkitów: Rootkity mogą ukrywać złośliwe oprogramowanie, zmieniając funkcje i interfejsy API na poziomie systemu, co utrudnia oprogramowaniu antywirusowemu ich wykrycie lub usunięcie.
Ładowanie dynamiczne: złośliwe oprogramowanie może dynamicznie ładować złośliwy kod do legalnych procesów, sprawiając wrażenie, jakby legalny proces zachowywał się normalnie podczas wykonywania złośliwych działań.
