Burntcigar Malware fungerar i tandem med Ransomware
Burntcigar är ett malware-verktyg som ofta används av cyberbrottslingar i ransomware-attacker, särskilt i samband med Cuba ransomware-varianten. Burntcigar söker aktivt efter processnamn som verkar vara kopplade till allmänt erkänd antivirus (AV) eller endpoint detection and response (EDR) programvara. Därefter införlivar den motsvarande process-ID:n för dessa identifierade processer i en kö för avslutning vid ett senare skede av driften.
Cyberbrottslingar distribuerar regelbundet denna skadliga programvara med det specifika målet att utföra ransomware-attacker, med särskild tonvikt på att infiltrera intet ont anande offers datormiljöer.
Burntcigar uppvisar ett smart driftsätt, som inkluderar utnyttjande av sårbarheter som finns i väletablerade antivirus- och endpoint detection and response (EDR)-produkter. En av dess anmärkningsvärda strategier involverar avsiktlig inriktning av processer associerade med dessa säkerhetslösningar, följt av tillägg av deras process-ID:n till en lista för avslutning. Detta strategiska drag leder i slutändan till avaktivering av viktiga säkerhetsåtgärder på komprometterade maskiner.
Dessutom är Burntcigar erkänt för sin förmåga att äventyra integriteten hos datorsystem genom att utnyttja enhetsdrivrutiner och exekvera skadlig kod. Vid specifika tillfällen har det observerats utnyttja sårbarheterna i Avast anti-rootkit-drivrutinen, och därigenom ge obehörig åtkomst till riktade system.
Utöver dessa exploateringar har skadlig programvara dokumenterats med hjälp av BAT-filer (Batch) som ett sätt att installera osäkra drivrutiner, och därigenom skapa en ingångspunkt för illvilliga aktiviteter orkestrerade av cyberangripare. De potentiella konsekvenserna av ett möte med Burntcigar eller liknande skadliga stammar är betydande och kan resultera i långtgående återverkningar.
I första hand kan offer uppleva omfattande dataförlust eftersom skadlig programvara krypterar filer, vilket gör dem otillgängliga utan en dekrypteringsnyckel. Dessutom finns det en betydande risk för ekonomiska förluster, eftersom angripare rutinmässigt kräver en lösensumma i utbyte mot dekrypteringsnyckeln. Detta tjänar i sin tur som ett incitament för cyberbrottslingar och förstorar de associerade riskerna ytterligare.
Hur kan skadlig programvara kringgå antiviruslösningar?
Utvecklare av skadlig programvara anpassar sig kontinuerligt och använder olika tekniker för att undvika upptäckt av antiviruslösningar. Även om antivirusprogram är utformat för att upptäcka och ta bort skadlig programvara, är det inte idiotsäkert. Här är flera sätt på vilka skadlig programvara kan kringgå antiviruslösningar:
Polymorf kod: Skadlig kod kan använda polymorf kod, som ändrar utseende varje gång den infekterar ett nytt system. Detta gör det utmanande för antivirusprogram att känna igen skadlig programvaras signatur eller beteendemönster.
Kryptering: Skadlig programvara kan kryptera sin kod eller kommunikation för att framstå som ofarlig data. Den dekrypterar sig själv endast när den körs, vilket gör det svårt för antivirusprogram att inspektera nyttolasten.
Kodobfuskation: Författare av skadlig programvara kan fördunkla sin kod för att göra den mer komplex och svårare att analysera. Detta kan innefatta användning av packnings- eller fördunklingstekniker som döljer skadlig programvaras verkliga avsikt.
Fillös skadlig programvara: Fillös skadlig programvara fungerar i minnet utan att lämna ett fotavtryck på filsystemet, vilket gör det utmanande för antivirusprogram som är beroende av filgenomsökning.
Zero-Day Exploits: Skadlig programvara kan dra fördel av sårbarheter i programvara eller operativsystem som ännu inte är kända för antivirusleverantörer. Dessa nolldagars utnyttjande tillåter skadlig programvara att infektera system innan säkerhetsuppdateringar eller patchar är tillgängliga.
Rootkit-tekniker: Rootkits kan dölja skadlig programvara genom att ändra funktioner och API:er på systemnivå, vilket gör det svårt för antivirusprogram att upptäcka eller ta bort dem.
Dynamisk laddning: Skadlig programvara kan dynamiskt ladda skadlig kod i legitima processer, vilket får det att se ut som om den legitima processen beter sig normalt medan skadliga åtgärder utförs.
