PoorTry/BurntCigar
Okoliš kibernetičkih prijetnji svjedočio je evoluciji PoorTryja, upravljačkog programa za Windows u načinu rada jezgre koji je postao destruktivniji. Prvobitno dizajniran za onemogućavanje rješenja za otkrivanje i odgovor krajnje točke (EDR), PoorTry je sada postao EDR brisač. Ova evolucija omogućuje grupama ransomwarea da izbrišu datoteke ključne za operacije sigurnosnog softvera, čineći sustave bespomoćnima i čineći oporavak daleko većim izazovom.
Sadržaj
Evolucija PoorTry: od deaktivacije do uništenja
PoorTry, također poznat pod pseudonimom "BurntCigar", značajan je alat u arsenalu ransomware grupa od svog početka 2021. U početku je razvijen za onemogućavanje EDR-a i drugih sigurnosnih mjera. S vremenom su ga koristile ozloglašene skupine ransomwarea, uključujući BlackCat , Cuba i LockBit . Njegov razvoj dosegao je značajnu prekretnicu kada su njegovi tvorci iskoristili Microsoftov proces potpisivanja atesta, dopuštajući da se zlonamjerni upravljački programi potpišu i koriste s većom učinkovitosti.
Tijekom 2022. i 2023. PoorTry se nastavio razvijati, poboljšavajući svoju sposobnost izbjegavanja otkrivanja. Uključivanjem alata za maskiranje kao što suVMProtect , Themida i ASMGuard, postao je vještiji u skrivanju svoje zlonamjerne namjere. Međutim, razvoj koji najviše zabrinjava dogodio se u srpnju 2024. kada je PoorTry prešao s pukog onemogućavanja EDR sustava na njihovo potpuno brisanje.
Kako funkcionira PoorTry
Najnovija iteracija PoorTryja počinje s njegovom komponentom korisničkog načina rada, koja pedantno identificira instalacijske direktorije sigurnosnog softvera i označava kritične datoteke. Te se informacije zatim prosljeđuju komponenti načina rada jezgre, koja izvršava napad sustavnim prekidanjem sigurnosnih procesa i brisanjem bitnih datoteka.
Sposobnost PoorTryja da cilja datoteke prema nazivu ili vrsti dodaje sloj operativne fleksibilnosti, omogućujući pokrivanje širokog spektra EDR proizvoda. Ova preciznost osigurava da se brišu samo najkritičnije datoteke, minimizirajući šanse ranog otkrivanja dok maksimizira učinak napada tijekom faze šifriranja.
Implikacije evolucije PoorTryja
Prijelaz s deaktivacije EDR-a na brisanje predstavlja značajnu eskalaciju u taktici koju koriste akteri ransomwarea. Uklanjanjem mogućnosti oporavka ili ponovnog pokretanja EDR sustava, napadači mogu nastaviti s enkripcijom bez izazova, ostavljajući sustave ranjivima i bespomoćnima.
Unatoč naporima tvrtki za kibernetičku sigurnost kao što su Trend Micro i Sophos, koje su pratile evoluciju PoorTryja i upozoravale na njegove sve veće mogućnosti, programeri koji stoje iza ovog alata dosljedno su se prilagođavali novim obrambenim mjerama. Ova prilagodljivost naglašava stalni izazov s kojim se suočavaju sigurnosni stručnjaci kako bi ostali ispred takvih naprednih prijetnji.
Kako ukloniti PoorTry i zaštititi svoj sustav
S obzirom na agresivnu prirodu PoorTryja, važno je odmah poduzeti mjere ako sumnjate da je vaš sustav ugrožen. Evo vodiča korak po korak za uklanjanje PoorTryja i zaštitu vašeg sustava:
- Pokrenite potpuno skeniranje sustava s programom protiv zlonamjernog softvera : Započnite korištenjem renomiranog programa protiv zlonamjernog softvera kako biste izvršili sveobuhvatno skeniranje vašeg sustava. Provjerite je li aplikacija ažurirana s najnovijim definicijama prijetnji kako biste učinkovito otkrili PoorTry.
- Izolirajte zaraženi sustav : ako se otkrije PoorTry, izolirajte zaraženi sustav od svoje mreže kako biste spriječili daljnje širenje zlonamjernog softvera.
- Uklonite zlonamjerni softver : Slijedite upute programa protiv zlonamjernog softvera kako biste uklonili PoorTry iz svog sustava. To može uključivati karantenu ili brisanje zaraženih datoteka. Provjerite jesu li svi tragovi zlonamjernog softvera uklonjeni.
- Vratite svoj sigurnosni softver : Nakon uklanjanja PoorTryja, možda ćete morati ponovno instalirati ili vratiti svoj EDR i druga sigurnosna rješenja kako biste osigurali da je vaš sustav zaštićen. Još jednom provjerite jesu li sve kritične komponente vašeg sigurnosnog softvera netaknute i rade li.
- Ažurirajte i ojačajte svoj sustav : Održavajte svoj operativni sustav, aplikacije i sigurnosni softver ažurnim. Primijenite dodatne sigurnosne mjere, kao što je segmentacija mreže i autentifikacija s više faktora, kako biste smanjili rizik od budućih napada.
- Pratite daljnje prijetnje : Nastavite nadzirati svoj sustav radi bilo kakvih znakova ponovne infekcije ili druge sumnjive aktivnosti. Ostanite oprezni i budite proaktivni u primjeni sigurnosnih zakrpa i ažuriranja.
Evolucija PoorTryja u EDR brisač označava novu razinu agresije u taktici ransomware grupa. Razumijevanjem načina na koji ovaj zlonamjerni softver radi i poduzimanjem brzih radnji za njegovo uklanjanje možete zaštititi svoj sustav od daljnjeg oštećenja. Upotrijebite pouzdani anti-malware program za otkrivanje i uklanjanje PoorTry i osigurajte da su vaše sigurnosne obrane dovoljno robusne da izdrže buduće prijetnje. Budite korak ispred u borbi protiv kibernetičkog kriminala koja se neprestano mijenja.
PoorTry/BurntCigar video
Savjet: Pretvorite svoj zvuk i gledati video u full screen modu.