PoorTry/BurntCigar
Kibernetinių grėsmių gamyboje buvo stebima PoorTry, branduolio režimo Windows tvarkyklės, kuri padarė destruktyvesnę posūkį, raida. Iš pradžių sukurta siekiant išjungti galutinio taško aptikimo ir atsako (EDR) sprendimus, „PoorTry“ dabar tapo EDR valytuvu. Ši evoliucija leidžia ransomware gaujoms ištrinti failus, kurie yra labai svarbūs saugumo programinės įrangos operacijoms, todėl sistemos tampa neapsaugotos ir atkūrimas tampa daug sudėtingesnis.
Turinys
Vargšų evoliucija: nuo deaktyvavimo iki sunaikinimo
„PoorTry“, taip pat žinomas slapyvardžiu „BurntCigar“, buvo reikšmingas įrankis išpirkos reikalaujančių programų grupių arsenale nuo pat įkūrimo 2021 m. Iš pradžių jis buvo sukurtas siekiant išjungti EDR ir kitas saugumo priemones. Laikui bėgant juo naudojosi žinomos išpirkos reikalaujančios gaujos, įskaitant BlackCat , Cuba ir LockBit . Jos kūrimas pasiekė reikšmingą etapą, kai jo kūrėjai pasinaudojo „Microsoft“ atestacijos pasirašymo procesu, leidžiančiu pasirašyti ir efektyviau naudoti kenkėjiškas tvarkykles.
2022 m. ir 2023 m. „PoorTry“ toliau vystėsi, pagerindama savo galimybes išvengti aptikimo. Įtraukus užmaskavimo įrankius, tokius kaipVMProtect , Themida ir ASMGuard, jis tapo įgudęs slėpti savo piktybinius ketinimus. Tačiau labiausiai susirūpinimą kelianti plėtra įvyko 2024 m. liepos mėn., kai „PoorTry“ perėjo nuo tik EDR sistemų išjungimo prie jų visiško panaikinimo.
Kaip veikia PoorTry
Naujausia „PoorTry“ iteracija prasideda vartotojo režimo komponentu, kuris kruopščiai identifikuoja saugos programinės įrangos diegimo katalogus ir nustato svarbius failus. Tada ši informacija perduodama branduolio režimo komponentui, kuris įvykdo ataką sistemingai nutraukdamas saugos procesus ir ištrindamas esminius failus.
„PoorTry“ galimybė nukreipti failus pagal pavadinimą ar tipą suteikia daugiau lankstumo, leidžiančio aprėpti platų EDR produktų spektrą. Šis tikslumas užtikrina, kad ištrinami tik svarbiausi failai, sumažinant ankstyvo aptikimo tikimybę ir maksimaliai padidinant atakos poveikį šifravimo fazės metu.
PoorTry evoliucijos pasekmės
Perėjimas nuo EDR išjungimo prie išvalymo reiškia reikšmingą išpirkos reikalaujančių programų dalyvių taktikos eskalavimą. Pašalinus galimybę atkurti arba iš naujo paleisti EDR sistemas, užpuolikai gali tęsti šifravimą, todėl sistemos tampa pažeidžiamos ir neapsaugotos.
Nepaisant kibernetinio saugumo įmonių, tokių kaip „Trend Micro“ ir „Sophos“, pastangų, kurios stebėjo „PoorTry“ evoliuciją ir perspėjo apie didėjančias jos galimybes, šio įrankio kūrėjai nuolat prisitaikė prie naujų gynybinių priemonių. Šis pritaikomumas pabrėžia nuolatinį iššūkį, su kuriuo susiduria saugos specialistai, siekdami išvengti tokių pažangių grėsmių.
Kaip pašalinti PoorTry ir apsaugoti savo sistemą
Atsižvelgiant į agresyvų PoorTry pobūdį, labai svarbu nedelsiant imtis veiksmų, jei įtariate, kad jūsų sistema buvo pažeista. Štai žingsnis po žingsnio vadovas, kaip pašalinti PoorTry ir apsaugoti sistemą:
- Paleiskite visą sistemos nuskaitymą naudodami apsaugos nuo kenkėjiškų programų programą : pradėkite naudodami patikimą apsaugos nuo kenkėjiškų programų programą, kad atliktumėte išsamų sistemos nuskaitymą. Įsitikinkite, kad programa yra atnaujinta pagal naujausius grėsmės apibrėžimus, kad galėtumėte veiksmingai aptikti PoorTry.
- Užkrėstos sistemos izoliavimas : jei aptinkamas „PoorTry“, izoliuokite užkrėstą sistemą nuo tinklo, kad išvengtumėte tolesnio kenkėjiškų programų plitimo.
- Pašalinkite kenkėjišką programą : vykdykite kovos su kenkėjiškomis programomis programos instrukcijas, kad pašalintumėte PoorTry iš savo sistemos. Tai gali apimti užkrėstų failų laikymą karantine arba ištrynimą. Įsitikinkite, kad visi kenkėjiškos programos pėdsakai yra pašalinti.
- Atkurkite saugos programinę įrangą : pašalinus „PoorTry“, gali tekti iš naujo įdiegti arba atkurti EDR ir kitus saugos sprendimus, kad sistema būtų apsaugota. Dar kartą patikrinkite, ar visi svarbūs saugos programinės įrangos komponentai yra nepažeisti ir veikia.
- Atnaujinkite ir sustiprinkite savo sistemą : atnaujinkite operacinę sistemą, programas ir saugos programinę įrangą. Taikykite papildomas saugos priemones, pvz., tinklo segmentavimą ir kelių veiksnių autentifikavimą, kad sumažintumėte būsimų atakų riziką.
- Stebėkite, ar nėra papildomų grėsmių : ir toliau stebėkite savo sistemą, ar neatsiranda pakartotinio užsikrėtimo ar kitos įtartinos veiklos požymių. Būkite budrūs ir būkite aktyvūs taikydami saugos pataisas ir naujinimus.
PoorTry evoliucija į EDR valytuvą žymi naują agresijos lygį išpirkos reikalaujančių grupuočių taktikoje. Suprasdami, kaip veikia ši kenkėjiška programa, ir greitai imdamiesi veiksmų ją pašalinti, galite apsaugoti savo sistemą nuo tolesnės žalos. Naudokite patikimą apsaugos nuo kenkėjiškų programų programą, kad aptiktumėte ir pašalintumėte „PoorTry“ ir įsitikinkite, kad jūsų apsaugos priemonės yra pakankamai tvirtos, kad atlaikytų būsimas grėsmes. Būkite vienu žingsniu priekyje nuolat besikeičiančioje kovoje su elektroniniais nusikaltimais.
PoorTry/BurntCigar vaizdo įrašas
Patarimas: ĮJUNKITE garsą ir žiūrėkite vaizdo įrašą viso ekrano režimu .