PoorTry/BurntCigar
Prostředí kybernetických hrozeb bylo svědkem vývoje PoorTry, ovladače Windows v režimu jádra, který nabral destruktivnější směr. PoorTry, původně navržený pro deaktivaci řešení Endpoint Detection and Response (EDR), se nyní stal stěračem EDR. Tento vývoj umožňuje ransomwarovým gangům mazat soubory důležité pro operace bezpečnostního softwaru, činí systémy bezbrannými a činí obnovu mnohem náročnější.
Obsah
Evoluce PoorTry: Od deaktivace k destrukci
PoorTry, známý také pod svým aliasem „BurntCigar“, je významným nástrojem v arzenálu ransomwarových skupin od svého založení v roce 2021. Původně byl vyvinut pro deaktivaci EDR a dalších bezpečnostních opatření. Postupem času jej začaly využívat notoricky známé ransomwarové gangy, včetně BlackCat , Cuba a LockBit . Jeho vývoj dosáhl významného milníku, když jeho tvůrci využili proces podepisování atestací společnosti Microsoft, který umožnil podepisování a používání škodlivých ovladačů s větší účinností.
V průběhu let 2022 a 2023 se PoorTry nadále vyvíjel a zlepšoval svou schopnost vyhnout se detekci. Začleněním znejasňovacích nástrojů, jako jsouVMProtect , Themida a ASMGuard, se stal šikovnějším ve skrývání svých škodlivých záměrů. K nejvíce znepokojivému vývoji však došlo v červenci 2024, kdy PoorTry přešel z pouhého deaktivace systémů EDR k jejich úplnému vymazání.
Jak funguje PoorTry
Nejnovější iterace PoorTry začíná jeho komponentou uživatelského režimu, která pečlivě identifikuje instalační adresáře bezpečnostního softwaru a přesně určuje důležité soubory. Tyto informace jsou poté předány komponentě v režimu jádra, která provede útok systematickým ukončením bezpečnostních procesů a smazáním důležitých souborů.
Schopnost PoorTry cílit na soubory podle názvu nebo typu přidává vrstvu provozní flexibility, která umožňuje pokrýt široké spektrum EDR produktů. Tato přesnost zajišťuje, že budou smazány pouze ty nejkritičtější soubory, čímž se minimalizuje šance na včasnou detekci a zároveň se maximalizuje dopad útoku během fáze šifrování.
Důsledky PoorTry's Evolution
Posun od deaktivace EDR k vymazání představuje smysluplnou eskalaci v taktice používané aktéry ransomwaru. Odebráním možnosti obnovy nebo restartu systémů EDR mohou útočníci pokračovat v šifrování bez problémů, takže systémy zůstanou zranitelné a bezbranné.
Navzdory úsilí firem zabývajících se kybernetickou bezpečností jako Trend Micro a Sophos, které sledovaly vývoj PoorTry a varovaly před jeho rostoucími schopnostmi, se vývojáři za tímto nástrojem neustále přizpůsobovali novým obranným opatřením. Tato přizpůsobivost podtrhuje neustálé problémy, kterým čelí bezpečnostní profesionálové, aby si udrželi náskok před takovými pokročilými hrozbami.
Jak odstranit PoorTry a chránit svůj systém
Vzhledem k agresivní povaze PoorTry je nezbytné okamžitě zasáhnout, pokud máte podezření, že váš systém byl kompromitován. Zde je podrobný průvodce odstraněním PoorTry a zabezpečením vašeho systému:
- Spusťte úplnou kontrolu systému pomocí programu proti malwaru : Začněte tím, že použijete renomovaný program proti malwaru, abyste provedli komplexní kontrolu systému. Zajistěte, aby aplikace byla aktuální s nejnovějšími definicemi hrozeb, aby bylo možné efektivně detekovat PoorTry.
- Izolujte infikovaný systém : Pokud je detekován PoorTry, izolujte infikovaný systém od vaší sítě, abyste zabránili dalšímu šíření malwaru.
- Odstraňte malware : Postupujte podle pokynů antimalwarového programu a odstraňte PoorTry ze systému. To může zahrnovat umístění do karantény nebo odstranění infikovaných souborů. Ujistěte se, že jsou odstraněny všechny stopy malwaru.
- Obnovte svůj bezpečnostní software : Po odstranění PoorTry možná budete muset znovu nainstalovat nebo obnovit EDR a další bezpečnostní řešení, abyste zajistili ochranu vašeho systému. Znovu zkontrolujte, zda jsou všechny důležité součásti vašeho bezpečnostního softwaru neporušené a funkční.
- Aktualizujte a zpevněte svůj systém : Udržujte svůj operační systém, aplikace a bezpečnostní software aktuální. Aplikujte další bezpečnostní opatření, jako je segmentace sítě a vícefaktorová autentizace, abyste snížili riziko budoucích útoků.
- Monitorování dalších hrozeb : Pokračujte ve sledování systému, zda nevykazuje známky reinfekce nebo jiné podezřelé aktivity. Zůstaňte ostražití a buďte proaktivní při používání bezpečnostních záplat a aktualizací.
Evoluce PoorTry ve stěrač EDR znamená novou úroveň agrese v taktice ransomwarových gangů. Pochopením toho, jak tento malware funguje, a rychlými kroky k jeho odstranění můžete ochránit svůj systém před dalším poškozením. Použijte spolehlivý antimalwarový program k detekci a odstranění PoorTry a zajistěte, aby vaše bezpečnostní obrana byla dostatečně robustní, aby odolala budoucím hrozbám. Buďte o krok napřed ve stále se měnícím boji proti kyberzločinu.
PoorTry/BurntCigar Video
Tip: Zapněte zvuk ON a sledovat video v režimu celé obrazovky.