Database delle minacce Malware PoorTry/BurntCigar

PoorTry/BurntCigar

Il panorama delle minacce informatiche ha assistito all'evoluzione di PoorTry, un driver Windows in modalità kernel che ha preso una piega più distruttiva. Progettato inizialmente per disabilitare le soluzioni Endpoint Detection and Response (EDR), PoorTry è ora diventato un wiper EDR. Questa evoluzione consente alle gang di ransomware di eliminare file cruciali per le operazioni del software di sicurezza, rendendo i sistemi indifesi e rendendo il ripristino molto più difficile.

L’evoluzione del PoorTry: dalla disattivazione alla distruzione

PoorTry, noto anche con il suo alias "BurntCigar", è stato uno strumento significativo nell'arsenale dei gruppi ransomware sin dal suo inizio nel 2021. Inizialmente, è stato sviluppato per disabilitare EDR e altre misure di sicurezza. Nel tempo, è stato utilizzato da famigerate gang ransomware, tra cui BlackCat , Cuba e LockBit . Il suo sviluppo ha raggiunto un traguardo notevole quando i suoi creatori hanno sfruttato il processo di firma dell'attestazione di Microsoft, consentendo ai driver dannosi di essere firmati e utilizzati con maggiore efficacia.

Nel corso del 2022 e del 2023, PoorTry ha continuato a evolversi, migliorando la sua capacità di eludere il rilevamento. Incorporando strumenti di offuscamento comeVMProtect , Themida e ASMGuard, è diventato più abile nel nascondere il suo intento malevolo. Tuttavia, lo sviluppo più preoccupante si è verificato a luglio 2024, quando PoorTry è passato dalla semplice disattivazione dei sistemi EDR alla loro completa eliminazione.

Come funziona PoorTry

L'ultima iterazione di PoorTry inizia con il suo componente user-mode, che identifica meticolosamente le directory di installazione del software di sicurezza e individua i file critici. Queste informazioni vengono poi trasmesse al componente kernel-mode, che esegue l'attacco terminando sistematicamente i processi di sicurezza ed eliminando i file essenziali.

La capacità di PoorTry di indirizzare i file in base al nome o al tipo aggiunge un livello di flessibilità operativa, consentendogli di coprire un ampio spettro di prodotti EDR. Questa precisione assicura che solo i file più critici vengano eliminati, riducendo al minimo le possibilità di rilevamento precoce e massimizzando al contempo l'impatto dell'attacco durante la fase di crittografia.

Le implicazioni dell’evoluzione di PoorTry

Il passaggio dalla disattivazione dell'EDR alla cancellazione rappresenta un'escalation significativa nelle tattiche impiegate dagli autori del ransomware. Rimuovendo la possibilità di ripristinare o riavviare i sistemi EDR, gli aggressori possono procedere con la crittografia senza essere ostacolati, lasciando i sistemi vulnerabili e indifesi.

Nonostante gli sforzi di aziende di sicurezza informatica come Trend Micro e Sophos, che hanno monitorato l'evoluzione di PoorTry e hanno messo in guardia sulle sue crescenti capacità, gli sviluppatori dietro questo strumento si sono costantemente adattati alle nuove misure difensive. Questa adattabilità sottolinea la sfida continua affrontata dai professionisti della sicurezza per rimanere al passo con queste minacce avanzate.

Come rimuovere PoorTry e proteggere il tuo sistema

Data la natura aggressiva di PoorTry, è essenziale agire immediatamente se si sospetta che il sistema sia stato compromesso. Ecco una guida passo passo per rimuovere PoorTry e proteggere il sistema:

  1. Esegui una scansione completa del sistema con un programma anti-malware : inizia utilizzando un programma anti-malware affidabile per eseguire una scansione completa del tuo sistema. Assicurati che l'applicazione sia aggiornata con le ultime definizioni delle minacce per rilevare PoorTry in modo efficace.
  2. Isolare il sistema infetto : se viene rilevato PoorTry, isolare il sistema infetto dalla rete per impedire un'ulteriore diffusione del malware.
  3. Rimuovi il malware : segui le istruzioni del programma anti-malware per rimuovere PoorTry dal tuo sistema. Questo potrebbe comportare la messa in quarantena o l'eliminazione di file infetti. Assicurati che tutte le tracce del malware siano eliminate.
  4. Ripristina il tuo software di sicurezza : dopo aver rimosso PoorTry, potresti dover reinstallare o ripristinare il tuo EDR e altre soluzioni di sicurezza per garantire la protezione del tuo sistema. Controlla due volte che tutti i componenti critici del tuo software di sicurezza siano intatti e funzionanti.
  5. Aggiorna e rafforza il tuo sistema : mantieni aggiornati il tuo sistema operativo, le tue applicazioni e il tuo software di sicurezza. Applica misure di sicurezza aggiuntive, come la segmentazione della rete e l'autenticazione multifattoriale, per ridurre il rischio di attacchi futuri.
  6. Monitora per ulteriori minacce : continua a monitorare il tuo sistema per eventuali segnali di reinfezione o altre attività sospette. Rimani vigile e sii proattivo nell'applicare patch e aggiornamenti di sicurezza.

L'evoluzione di PoorTry in un wiper EDR segna un nuovo livello di aggressività nelle tattiche delle gang di ransomware. Comprendendo come funziona questo malware e agendo rapidamente per rimuoverlo, puoi proteggere il tuo sistema da ulteriori danni. Utilizza un programma anti-malware affidabile per rilevare ed eliminare PoorTry e assicurati che le tue difese di sicurezza siano sufficientemente robuste da resistere a minacce future. Rimani un passo avanti nella battaglia in continua evoluzione contro la criminalità informatica.

PoorTry/BurntCigar Video

Suggerimento: attiva l' audio e guarda il video in modalità Schermo intero .

Tendenza

I più visti

Caricamento in corso...