O malware Burntcigar funciona em conjunto com o ransomware
Burntcigar é uma ferramenta de malware frequentemente utilizada por cibercriminosos em ataques de ransomware, especialmente em conjunto com a variante de ransomware Cuba. Burntcigar procura ativamente nomes de processos que pareçam estar vinculados a software antivírus (AV) ou software de detecção e resposta de endpoint (EDR) amplamente reconhecido. Posteriormente, ele incorpora os IDs de processo correspondentes desses processos identificados em uma fila para encerramento em um estágio posterior de sua operação.
Os cibercriminosos implantam regularmente este software malicioso com o objetivo específico de executar ataques de ransomware, com ênfase particular na infiltração nos ambientes computacionais de vítimas inocentes.
Burntcigar exibe um modo de operação inteligente, que inclui a exploração de vulnerabilidades encontradas em antivírus bem estabelecidos e produtos de detecção e resposta de endpoint (EDR). Uma de suas estratégias notáveis envolve o direcionamento deliberado de processos associados a essas soluções de segurança, seguido pela adição de seus IDs de processo a uma lista para encerramento. Este movimento estratégico leva, em última análise, à desativação de medidas de segurança vitais nas máquinas comprometidas.
Além disso, Burntcigar é reconhecido pela sua capacidade de comprometer a integridade dos sistemas informáticos, explorando drivers de dispositivos e executando códigos maliciosos. Em ocasiões específicas, foi observada a exploração das vulnerabilidades do driver anti-rootkit Avast, concedendo assim acesso não autorizado aos sistemas visados.
Além dessas explorações, o malware foi documentado utilizando arquivos BAT (Batch) como meio de instalar drivers inseguros, criando assim um ponto de entrada para atividades malévolas orquestradas por invasores cibernéticos. As consequências potenciais decorrentes de um encontro com Burntcigar ou cepas de malware semelhantes são substanciais e podem resultar em repercussões de longo alcance.
Principalmente, as vítimas podem sofrer uma grande perda de dados à medida que o malware encripta os ficheiros, tornando-os inacessíveis sem uma chave de desencriptação. Além disso, existe um risco substancial de perdas financeiras, uma vez que os atacantes exigem rotineiramente um resgate em troca da chave de desencriptação. Isto, por sua vez, serve de incentivo para os cibercriminosos e amplia ainda mais os riscos associados.
Como o malware pode contornar as soluções antivírus?
Os desenvolvedores de malware adaptam-se continuamente e empregam diversas técnicas para evitar a detecção por soluções antivírus. Embora o software antivírus seja projetado para detectar e remover malware, ele não é infalível. Aqui estão várias maneiras pelas quais o malware pode contornar as soluções antivírus:
Código Polimórfico: O malware pode usar código polimórfico, que muda sua aparência cada vez que infecta um novo sistema. Isso torna difícil para o software antivírus reconhecer a assinatura ou os padrões de comportamento do malware.
Criptografia: o malware pode criptografar seu código ou comunicação para aparecer como dados inofensivos. Ele se descriptografa apenas quando executado, dificultando a inspeção da carga pelos programas antivírus.
Ofuscação de código: os autores de malware podem ofuscar seu código para torná-lo mais complexo e difícil de analisar. Isso pode incluir o uso de técnicas de empacotamento ou ofuscação que obscurecem a verdadeira intenção do malware.
Malware sem arquivo: O malware sem arquivo opera na memória sem deixar pegada no sistema de arquivos, tornando-o um desafio para software antivírus que depende da verificação de arquivos.
Explorações de dia zero: o malware pode tirar vantagem de vulnerabilidades em software ou sistemas operacionais que ainda não são conhecidas pelos fornecedores de antivírus. Essas explorações de dia zero permitem que malware infecte sistemas antes que atualizações ou patches de segurança estejam disponíveis.
Técnicas de rootkit: Os rootkits podem ocultar malware alterando funções e APIs no nível do sistema, dificultando a detecção ou remoção deles pelo software antivírus.
Carregamento dinâmico: o malware pode carregar dinamicamente código malicioso em processos legítimos, fazendo parecer que o processo legítimo está se comportando normalmente durante a execução de ações maliciosas.
