PoorTry/BurntCigar

Pokrajina kibernetskih groženj je bila priča razvoju PoorTry, gonilnika Windows v jedrnem načinu, ki je postal bolj uničujoč. PoorTry, ki je bil prvotno zasnovan za onemogočanje rešitev za zaznavanje in odziv končne točke (EDR), je zdaj postal brisalec EDR. Ta razvoj omogoča združbam izsiljevalske programske opreme, da izbrišejo datoteke, ki so ključne za delovanje varnostne programske opreme, s čimer postanejo sistemi brez obrambe in postane okrevanje veliko bolj zahtevno.

Evolucija PoorTry: od deaktivacije do uničenja

PoorTry, znan tudi pod vzdevkom »BurntCigar«, je pomembno orodje v arzenalu skupin izsiljevalske programske opreme od svojega začetka leta 2021. Sprva je bil razvit za onemogočanje EDR in drugih varnostnih ukrepov. Sčasoma so ga uporabile razvpite združbe izsiljevalske programske opreme, vključno z BlackCat , Cuba in LockBit . Njegov razvoj je dosegel pomemben mejnik, ko so njegovi ustvarjalci izkoristili Microsoftov postopek podpisovanja potrdil, kar je omogočilo podpisovanje in uporabo zlonamernih gonilnikov z večjo učinkovitostjo.

V letih 2022 in 2023 se je PoorTry še naprej razvijal in izboljšal svojo sposobnost izogibanja odkrivanju. Z vključitvijo orodij za zamegljevanje, kot soVMProtect , Themida in ASMGuard, je postalo bolj spretno pri skrivanju svojih zlonamernih namenov. Vendar pa se je najbolj zaskrbljujoč razvoj zgodil julija 2024, ko je PoorTry prešel iz zgolj onemogočanja sistemov EDR na njihovo popolno izbris.

Kako deluje PoorTry

Najnovejša ponovitev PoorTry se začne s komponento uporabniškega načina, ki natančno identificira namestitvene imenike varnostne programske opreme in natančno določi kritične datoteke. Te informacije se nato posredujejo komponenti jedrnega načina, ki izvede napad tako, da sistematično prekine varnostne procese in izbriše bistvene datoteke.

PoorTryjeva sposobnost ciljanja datotek po imenu ali vrsti dodaja plast operativne prilagodljivosti, kar omogoča pokrivanje širokega spektra izdelkov EDR. Ta natančnost zagotavlja, da se izbrišejo samo najbolj kritične datoteke, kar zmanjšuje možnosti zgodnjega odkrivanja in hkrati povečuje učinek napada med fazo šifriranja.

Posledice evolucije PoorTryja

Prehod z deaktivacije EDR na brisanje predstavlja pomembno stopnjevanje taktike, ki jo uporabljajo akterji izsiljevalske programske opreme. Z odstranitvijo zmožnosti obnovitve ali ponovnega zagona sistemov EDR lahko napadalci neovirano nadaljujejo s šifriranjem, sistemi pa ostanejo ranljivi in brez obrambe.

Kljub prizadevanjem podjetij za kibernetsko varnost, kot sta Trend Micro in Sophos, ki so spremljala razvoj PoorTryja in opozarjala na njegove vse večje zmogljivosti, so se razvijalci za tem orodjem dosledno prilagajali novim obrambnim ukrepom. Ta prilagodljivost poudarja stalen izziv, s katerim se soočajo varnostni strokovnjaki, da ostanejo pred tako naprednimi grožnjami.

Kako odstraniti PoorTry in zaščititi svoj sistem

Glede na agresivno naravo PoorTry je nujno, da takoj ukrepate, če sumite, da je bil vaš sistem ogrožen. Tukaj je vodnik po korakih za odstranitev PoorTry in zaščito vašega sistema:

  1. Zaženite pregled celotnega sistema s programom proti zlonamerni programski opremi : Začnite z uporabo uglednega programa proti zlonamerni programski opremi, da izvedete celovit pregled vašega sistema. Prepričajte se, da je aplikacija posodobljena z najnovejšimi definicijami groženj za učinkovito odkrivanje PoorTry.
  2. Izolirajte okuženi sistem : če je zaznan PoorTry, izolirajte okuženi sistem iz svojega omrežja, da preprečite nadaljnje širjenje zlonamerne programske opreme.
  3. Odstranite zlonamerno programsko opremo : sledite navodilom programa proti zlonamerni programski opremi, da odstranite PoorTry iz svojega sistema. To lahko vključuje karanteno ali brisanje okuženih datotek. Prepričajte se, da so odstranjene vse sledi zlonamerne programske opreme.
  4. Obnovite svojo varnostno programsko opremo : po odstranitvi PoorTry boste morda morali znova namestiti ali obnoviti vaš EDR in druge varnostne rešitve, da zagotovite zaščito vašega sistema. Še enkrat preverite, ali so vse kritične komponente vaše varnostne programske opreme nedotaknjene in delujejo.
  5. Posodobite in utrdite svoj sistem : Poskrbite, da bo vaš operacijski sistem, aplikacije in varnostna programska oprema posodobljena. Uporabite dodatne varnostne ukrepe, kot sta segmentacija omrežja in večfaktorska avtentikacija, da zmanjšate tveganje prihodnjih napadov.
  6. Spremljajte nadaljnje grožnje : še naprej spremljajte svoj sistem glede morebitnih znakov ponovne okužbe ali druge sumljive dejavnosti. Ostanite pozorni in bodite proaktivni pri uporabi varnostnih popravkov in posodobitev.

Evolucija PoorTryja v brisalec EDR označuje novo raven agresije v taktikah tolp izsiljevalskih programov. Če razumete, kako deluje ta zlonamerna programska oprema, in hitro ukrepate, da jo odstranite, lahko zaščitite svoj sistem pred nadaljnjo škodo. Uporabite zanesljiv program proti zlonamerni programski opremi, da odkrijete in odstranite PoorTry ter zagotovite, da je vaša varnostna obramba dovolj robustna, da se upre prihodnjim grožnjam. Ostanite korak spredaj v nenehno spreminjajočem se boju proti kibernetskemu kriminalu.

PoorTry/BurntCigar Video

Nasvet: Obrnite zvok ON in si ogledate video v Full Screen načinu.

V trendu

Najbolj gledan

Nalaganje...