Вредоносное ПО Burntcigar работает в тандеме с программами-вымогателями

Burntcigar — это вредоносное ПО, которое часто используется киберпреступниками для атак с использованием программ-вымогателей, особенно в сочетании с вариантом программы-вымогателя Cuba. Burntcigar активно ищет имена процессов, которые, по-видимому, связаны с широко известным антивирусным программным обеспечением (AV) или программным обеспечением обнаружения и реагирования на конечные точки (EDR). Впоследствии он включает соответствующие идентификаторы этих идентифицированных процессов в очередь для завершения на более позднем этапе своей работы.

Киберпреступники регулярно используют это вредоносное программное обеспечение с конкретной целью проведения атак с использованием программ-вымогателей, уделяя особое внимание проникновению в компьютерную среду ничего не подозревающих жертв.

Burntcigar демонстрирует умный режим работы, который включает использование уязвимостей, обнаруженных в хорошо зарекомендовавших себя антивирусных продуктах и продуктах обнаружения и реагирования на конечные точки (EDR). Одна из его примечательных стратегий предполагает преднамеренное нацеливание на процессы, связанные с этими решениями безопасности, с последующим добавлением их идентификаторов процессов в список для завершения. Этот стратегический шаг в конечном итоге приводит к деактивации жизненно важных мер безопасности на скомпрометированных машинах.

Кроме того, Burntcigar известен своей способностью нарушать целостность компьютерных систем путем использования драйверов устройств и выполнения вредоносного кода. В отдельных случаях было замечено использование уязвимостей антируткит-драйвера Avast, тем самым предоставляя несанкционированный доступ к целевым системам.

В дополнение к этим эксплойтам было зарегистрировано использование вредоносным ПО файлов BAT (Batch) в качестве средства установки небезопасных драйверов, тем самым создавая точку входа для злонамеренных действий, организованных киберзлоумышленниками. Потенциальные последствия, возникающие в результате столкновения с Burntcigar или аналогичными штаммами вредоносного ПО, существенны и могут иметь далеко идущие последствия.

Прежде всего, жертвы могут столкнуться с значительной потерей данных, поскольку вредоносное ПО шифрует файлы, делая их недоступными без ключа дешифрования. Кроме того, существует существенный риск финансовых потерь, поскольку злоумышленники регулярно требуют выкуп в обмен на ключ дешифрования. Это, в свою очередь, служит стимулом для киберпреступников и еще больше увеличивает связанные с этим риски.

Как вредоносное ПО может обойти антивирусные решения?

Разработчики вредоносных программ постоянно адаптируются и используют различные методы, чтобы избежать обнаружения антивирусными решениями. Хотя антивирусное программное обеспечение предназначено для обнаружения и удаления вредоносных программ, оно не является надежным. Вот несколько способов, с помощью которых вредоносное ПО может обойти антивирусные решения:

Полиморфный код. Вредоносное ПО может использовать полиморфный код, который меняет свой внешний вид каждый раз, когда заражает новую систему. Это затрудняет антивирусному программному обеспечению распознавание сигнатур или моделей поведения вредоносного ПО.

Шифрование. Вредоносное ПО может шифровать свой код или сообщения, чтобы они выглядели как безвредные данные. Он расшифровывает себя только при выполнении, что затрудняет проверку полезной нагрузки антивирусными программами.

Обфускация кода. Авторы вредоносных программ могут запутывать свой код, делая его более сложным и трудным для анализа. Это может включать использование методов упаковки или запутывания, которые скрывают истинные намерения вредоносного ПО.

Бесфайловое вредоносное ПО. Бесфайловое вредоносное ПО работает в памяти, не оставляя следа в файловой системе, что усложняет работу антивирусного программного обеспечения, основанного на сканировании файлов.

Эксплойты нулевого дня. Вредоносное ПО может использовать уязвимости в программном обеспечении или операционных системах, которые еще не известны поставщикам антивирусов. Эти эксплойты нулевого дня позволяют вредоносному ПО заражать системы до того, как станут доступны обновления или исправления безопасности.

Методы использования руткитов. Руткиты могут скрывать вредоносное ПО, изменяя функции и API системного уровня, что затрудняет их обнаружение или удаление антивирусным программным обеспечением.

Динамическая загрузка. Вредоносное ПО может динамически загружать вредоносный код в законные процессы, создавая впечатление, будто законный процесс ведет себя нормально при выполнении вредоносных действий.