PoorTry/BurntCigar
O cenário de ameaças cibernéticas testemunhou a evolução do PoorTry, um driver do Windows em modo kernel que tomou um rumo mais destrutivo. Projetado inicialmente para desabilitar soluções de Detecção e Resposta de Endpoint (EDR), o PoorTry agora se tornou um limpador de EDR. Essa evolução permite que gangues de ransomware excluam arquivos cruciais para operações de software de segurança, deixando os sistemas indefesos e tornando a recuperação muito mais desafiadora.
Índice
A Evolução do PoorTry: Da Desativação à Destruição
O PoorTry, também conhecido pelo seu pseudônimo "BurntCigar", tem sido uma ferramenta significativa no arsenal de grupos de ransomware desde seu início em 2021. Inicialmente, ele foi desenvolvido para desabilitar EDR e outras medidas de segurança. Com o tempo, ele foi utilizado por gangues de ransomware notórias, incluindo o BlackCat, o Cuba e o LockBit. Seu desenvolvimento atingiu um marco notável quando seus criadores exploraram o processo de assinatura de atestado da Microsoft, permitindo que os drivers maliciosos fossem assinados e usados com maior eficácia.
Ao longo de 2022 e 2023, o PoorTry continuou a evoluir, aumentando sua capacidade de escapar da detecção. Ao incorporar ferramentas de ofuscação como o VMProtect, o Themida e o ASMGuard, ele se tornou mais hábil em esconder sua intenção maliciosa. No entanto, o desenvolvimento mais preocupante ocorreu em julho de 2024, quando o PoorTry fez a transição de apenas desabilitar sistemas EDR para eliminá-los completamente.
Como o PoorTry Funciona
A última iteração do PoorTry começa com seu componente de modo de usuário, que identifica meticulosamente os diretórios de instalação do software de segurança e aponta arquivos críticos. Essas informações são então retransmitidas para o componente de modo kernel, que executa o ataque encerrando sistematicamente os processos de segurança e excluindo arquivos essenciais.
A capacidade do PoorTry de mirar em arquivos por nome ou tipo adiciona uma camada de flexibilidade operacional, permitindo que ele cubra um amplo espectro de produtos EDR. Essa precisão garante que apenas os arquivos mais críticos sejam excluídos, minimizando as chances de detecção precoce e maximizando o impacto do ataque durante a fase de criptografia.
As Implicações da Evolução do PoorTry
A mudança da desativação de EDR para limpeza representa uma escalada significativa nas táticas empregadas por agentes de ransomware. Ao remover a capacidade de recuperar ou reiniciar sistemas de EDR, os invasores podem prosseguir com a criptografia sem contestação, deixando os sistemas vulneráveis e indefesos.
Apesar dos esforços de empresas de segurança cibernética como a Trend Micro e a Sophos, que rastrearam a evolução do PoorTry e alertaram sobre suas capacidades crescentes, os desenvolvedores por trás dessa ferramenta se adaptaram consistentemente a novas medidas defensivas. Essa adaptabilidade ressalta o desafio contínuo enfrentado pelos profissionais de segurança para se manterem à frente dessas ameaças avançadas.
Como Remover o PoorTry e Proteger o Seu Sistema
Dada a natureza agressiva do PoorTry, é essencial tomar medidas imediatas se você suspeitar que seu sistema foi comprometido. Aqui está um guia passo a passo para remover o PoorTry e proteger seu sistema:
- Execute uma verificação completa do sistema com um programa anti-malware: Comece usando um programa anti-malware confiável para executar uma varredura abrangente do seu sistema. Certifique-se de que o aplicativo esteja atualizado com as últimas definições de ameaças para detectar o PoorTry efetivamente.
- Isole o sistema infectado: Se o PoorTry for detectado, isole o sistema infectado da sua rede para evitar a propagação do malware.
- Remova o malware: Siga as instruções do programa anti-malware para remover o PoorTry do seu sistema. Isso pode envolver colocar em quarentena ou excluir arquivos infectados. Certifique-se de que todos os vestígios do malware sejam eliminados.
- Restaure seu software de segurança: Após remover o PoorTry, você pode precisar reinstalar ou restaurar seu EDR e outras soluções de segurança para garantir que seu sistema esteja protegido. Verifique novamente se todos os componentes críticos do seu software de segurança estão intactos e funcionando.
- Atualize e fortaleça seu sistema: Mantenha seu sistema operacional, aplicativos e software de segurança atualizados. Aplique medidas de segurança adicionais, como segmentação de rede e autenticação multifator, para diminuir o risco de ataques futuros.
- Monitore outras ameaças: Continue monitorando seu sistema para quaisquer sinais de reinfecção ou outra atividade suspeita. Fique vigilante e seja proativo na aplicação de patches e atualizações de segurança.
A evolução do PoorTry para um limpador de EDR marca um novo nível de agressão nas táticas de gangues de ransomware. Ao entender como esse malware opera e tomar medidas rápidas para removê-lo, você pode proteger seu sistema de mais danos. Use um programa antimalware confiável para detectar e eliminar o PoorTry e garantir que suas defesas de segurança sejam robustas o suficiente para suportar ameaças futuras. Fique um passo à frente na batalha em constante mudança contra o crime cibernético.
PoorTry/BurntCigar Vídeo
Dica: Ligue o som e assistir o vídeo em modo de tela cheia.