PoorTry/BurntCigar
El panorama de les amenaces cibernètiques ha estat testimoni de l'evolució de PoorTry, un controlador de Windows en mode nucli que ha pres un gir més destructiu. Dissenyat inicialment per desactivar les solucions de detecció i resposta de punt final (EDR), PoorTry s'ha convertit en un netejador EDR. Aquesta evolució permet a les bandes de ransomware suprimir fitxers crucials per a les operacions de programari de seguretat, deixant els sistemes indefensos i fent que la recuperació sigui molt més difícil.
Taula de continguts
L'evolució de PoorTry: de la desactivació a la destrucció
PoorTry, també conegut pel seu àlies "BurntCigar", ha estat una eina important en l'arsenal de grups de ransomware des dels seus inicis el 2021. Inicialment, es va desenvolupar per desactivar EDR i altres mesures de seguretat. Amb el temps, ha estat utilitzat per bandes de ransomware notòries, com BlackCat , Cuba i LockBit . El seu desenvolupament va assolir una fita notable quan els seus creadors van aprofitar el procés de signatura de certificats de Microsoft, permetent que els controladors maliciosos es signin i s'utilitzin amb una major eficàcia.
Al llarg del 2022 i el 2023, PoorTry va continuar evolucionant, millorant la seva capacitat per evadir la detecció. En incorporar eines d'ofuscació comVMProtect , Themida i ASMGuard, es va fer més hàbil per amagar la seva intenció maliciosa. Tanmateix, el desenvolupament més preocupant es va produir el juliol de 2024, quan PoorTry va passar de desactivar només els sistemes EDR a eliminar-los completament.
Com funciona PoorTry
L'última iteració de PoorTry comença amb el seu component en mode d'usuari, que identifica meticulosament els directoris d'instal·lació del programari de seguretat i identifica els fitxers crítics. Aquesta informació es transmet després al component en mode nucli, que executa l'atac finalitzant sistemàticament els processos de seguretat i suprimint els fitxers essencials.
La capacitat de PoorTry d'orientar fitxers per nom o tipus afegeix una capa de flexibilitat operativa, cosa que li permet cobrir un ampli espectre de productes EDR. Aquesta precisió garanteix que només s'eliminin els fitxers més crítics, minimitzant les possibilitats de detecció precoç i maximitzant l'impacte de l'atac durant la fase de xifratge.
Les implicacions de l'evolució de PoorTry
El canvi de la desactivació d'EDR a l'esborrat representa una escalada significativa de les tàctiques emprades pels actors de ransomware. En eliminar la capacitat de recuperar o reiniciar els sistemes EDR, els atacants poden continuar amb el xifratge sense qüestions, deixant els sistemes vulnerables i indefensos.
Malgrat els esforços d'empreses de ciberseguretat com Trend Micro i Sophos, que han fet un seguiment de l'evolució de PoorTry i han advertit sobre les seves capacitats creixents, els desenvolupadors d'aquesta eina s'han adaptat constantment a noves mesures defensives. Aquesta capacitat d'adaptació posa de manifest el repte constant que tenen els professionals de la seguretat per mantenir-se al capdavant d'aquestes amenaces avançades.
Com eliminar PoorTry i protegir el vostre sistema
Donada la naturalesa agressiva de PoorTry, és essencial prendre mesures immediates si sospiteu que el vostre sistema s'ha vist compromès. Aquí teniu una guia pas a pas per eliminar PoorTry i protegir el vostre sistema:
- Executeu una exploració completa del sistema amb un programa anti-malware : comenceu utilitzant un programa anti-malware de bona reputació per dur a terme una exploració completa del vostre sistema. Assegureu-vos que l'aplicació estigui actualitzada amb les últimes definicions d'amenaça per detectar PoorTry amb eficàcia.
- Aïllar el sistema infectat : si es detecta PoorTry, aïlleu el sistema infectat de la vostra xarxa per evitar la propagació del programari maliciós.
- Elimineu el programari maliciós : seguiu les instruccions del programa antimalware per eliminar PoorTry del vostre sistema. Això pot implicar posar en quarantena o esborrar fitxers infectats. Assegureu-vos que s'eliminin tots els rastres del programari maliciós.
- Restaura el teu programari de seguretat : després d'eliminar PoorTry, és possible que hagis de reinstal·lar o restaurar el teu EDR i altres solucions de seguretat per assegurar-te que el teu sistema estigui protegit. Comproveu que tots els components crítics del vostre programari de seguretat estiguin intactes i funcionin.
- Actualitzeu i enduriu el vostre sistema : mantingueu el sistema operatiu, les aplicacions i el programari de seguretat actualitzats. Apliqueu mesures de seguretat addicionals, com ara la segmentació de la xarxa i l'autenticació multifactorial, per disminuir el risc d'atacs futurs.
- Superviseu més amenaces : continueu supervisant el vostre sistema per detectar qualsevol signe de reinfecció o altra activitat sospitosa. Estigueu atents i sigueu proactius a l'hora d'aplicar actualitzacions i pegats de seguretat.
L'evolució de PoorTry cap a un netejador EDR marca un nou nivell d'agressió en les tàctiques de les bandes de ransomware. En entendre com funciona aquest programari maliciós i en prendre mesures ràpides per eliminar-lo, podeu protegir el vostre sistema de més danys. Utilitzeu un programa anti-programari maliciós fiable per detectar i eliminar PoorTry i assegurar-vos que les vostres defenses de seguretat siguin prou robustes per suportar futures amenaces. Mantingueu-vos un pas per davant en la batalla en constant canvi contra el cibercrim.
PoorTry/BurntCigar Vídeo
Consell: activa el so i mira el vídeo en mode de pantalla completa .