PoorTry/BurntCigar
Krajina kybernetických hrozieb bola svedkom vývoja PoorTry, ovládača systému Windows v režime jadra, ktorý nabral deštruktívnejší smer. PoorTry, pôvodne navrhnutý na deaktiváciu riešení Endpoint Detection and Response (EDR), sa teraz stal stieračom EDR. Tento vývoj umožňuje ransomvérovým gangom odstraňovať súbory dôležité pre operácie bezpečnostného softvéru, čím sa systémy stávajú bezbrannými a obnova je oveľa náročnejšia.
Obsah
Evolúcia PoorTry: Od deaktivácie k zničeniu
PoorTry, známy aj pod aliasom „BurntCigar“, je významným nástrojom v arzenáli skupín ransomvéru od svojho vzniku v roku 2021. Spočiatku bol vyvinutý na deaktiváciu EDR a iných bezpečnostných opatrení. Postupom času ho začali využívať notoricky známe ransomvérové gangy vrátane BlackCat , Cuba a LockBit . Jeho vývoj dosiahol významný míľnik, keď jeho tvorcovia využili proces podpisovania osvedčení od spoločnosti Microsoft, ktorý umožnil podpisovanie a používanie škodlivých ovládačov s vyššou účinnosťou.
Počas rokov 2022 a 2023 sa PoorTry naďalej vyvíjal, čím sa zlepšila jeho schopnosť vyhnúť sa detekcii. Začlenením nástrojov na zahmlievanie, ako súVMProtect , Themida a ASMGuard, sa stal šikovnejším v skrývaní svojich škodlivých zámerov. Najznepokojivejší vývoj však nastal v júli 2024, keď spoločnosť PoorTry prešla z jednoduchého deaktivovania systémov EDR na ich úplné vymazanie.
Ako funguje PoorTry
Najnovšia iterácia PoorTry začína jeho komponentom užívateľského režimu, ktorý dôsledne identifikuje inštalačné adresáre bezpečnostného softvéru a identifikuje kritické súbory. Tieto informácie sa potom prenesú do komponentu v režime jadra, ktorý vykoná útok systematickým ukončením bezpečnostných procesov a odstránením dôležitých súborov.
Schopnosť PoorTry zacieliť na súbory podľa názvu alebo typu pridáva vrstvu prevádzkovej flexibility, ktorá umožňuje pokryť široké spektrum produktov EDR. Táto presnosť zaisťuje, že sa vymažú len tie najkritickejšie súbory, čím sa minimalizujú šance na skoré odhalenie a zároveň sa maximalizuje vplyv útoku počas fázy šifrovania.
Dôsledky evolúcie PoorTry's
Posun od deaktivácie EDR k vymazaniu predstavuje zmysluplnú eskaláciu taktiky používanej aktérmi ransomvéru. Odstránením možnosti obnovy alebo reštartu systémov EDR môžu útočníci pokračovať v šifrovaní bez problémov, vďaka čomu budú systémy zraniteľné a bezbranné.
Napriek úsiliu firiem zaoberajúcich sa kybernetickou bezpečnosťou ako Trend Micro a Sophos, ktoré sledovali vývoj PoorTry a varovali pred jeho rastúcimi schopnosťami, vývojári stojaci za týmto nástrojom sa neustále prispôsobovali novým obranným opatreniam. Táto prispôsobivosť podčiarkuje pretrvávajúcu výzvu, ktorej čelia profesionáli v oblasti bezpečnosti pri udržiavaní si náskoku pred týmito pokročilými hrozbami.
Ako odstrániť PoorTry a chrániť svoj systém
Vzhľadom na agresívnu povahu PoorTry je nevyhnutné okamžite konať, ak máte podozrenie, že váš systém bol napadnutý. Tu je podrobný návod na odstránenie PoorTry a zabezpečenie vášho systému:
- Spustite úplnú kontrolu systému s antimalvérovým programom : Začnite s použitím renomovaného antimalvérového programu na vykonanie komplexnej kontroly vášho systému. Zabezpečte, aby bola aplikácia aktuálna s najnovšími definíciami hrozieb, aby bolo možné efektívne odhaliť PoorTry.
- Izolujte infikovaný systém : Ak sa zistí PoorTry, izolujte infikovaný systém od vašej siete, aby ste zabránili ďalšiemu šíreniu malvéru.
- Odstráňte malvér : Postupujte podľa pokynov antimalvérového programu na odstránenie PoorTry zo systému. Môže to zahŕňať umiestnenie do karantény alebo vymazanie infikovaných súborov. Uistite sa, že sú odstránené všetky stopy škodlivého softvéru.
- Obnovte svoj bezpečnostný softvér : Po odstránení PoorTry možno budete musieť preinštalovať alebo obnoviť EDR a iné bezpečnostné riešenia, aby ste zaistili ochranu vášho systému. Dvakrát skontrolujte, či sú všetky dôležité súčasti vášho bezpečnostného softvéru neporušené a fungujú.
- Aktualizujte a posilnite svoj systém : Udržujte svoj operačný systém, aplikácie a bezpečnostný softvér v aktuálnom stave. Aplikujte dodatočné bezpečnostné opatrenia, ako je segmentácia siete a viacfaktorová autentifikácia, aby ste znížili riziko budúcich útokov.
- Monitorovanie ďalších hrozieb : Pokračujte v monitorovaní systému, či neobsahuje známky reinfekcie alebo inej podozrivej aktivity. Buďte ostražití a buďte proaktívni pri aplikovaní bezpečnostných záplat a aktualizácií.
Evolúcia PoorTry na stierač EDR predstavuje novú úroveň agresivity v taktike gangov ransomvéru. Pochopením toho, ako tento malvér funguje, a rýchlymi opatreniami na jeho odstránenie môžete chrániť svoj systém pred ďalším poškodením. Použite spoľahlivý antimalvérový program na detekciu a odstránenie PoorTry a zaistite, že vaša bezpečnostná obrana je dostatočne robustná, aby odolala budúcim hrozbám. Buďte o krok vpred v neustále sa meniacom boji proti počítačovej kriminalite.
PoorTry/BurntCigar Video
Tip: Zapnite si zvuk a sledujte video v režime celej obrazovky .