PoorTry/BurntCigar

Peizazhi i kërcënimit kibernetik ka dëshmuar evolucionin e PoorTry, një drejtues Windows në modalitetin kernel që ka marrë një kthesë më shkatërruese. E krijuar fillimisht për të çaktivizuar zgjidhjet e Zbulimit dhe Përgjigjes së Fundit (EDR), PoorTry tani është bërë një fshirëse EDR. Ky evolucion lejon bandat e ransomware të fshijnë skedarët thelbësorë për operacionet e softuerit të sigurisë, duke i bërë sistemet të pambrojtura dhe duke e bërë rikuperimin shumë më sfidues.

Evolucioni i PoorTry: Nga çaktivizimi në shkatërrim

PoorTry, i njohur gjithashtu me pseudonimin e tij "BurntCigar", ka qenë një mjet i rëndësishëm në arsenalin e grupeve të ransomware që nga fillimi i tij në 2021. Fillimisht, ai u zhvillua për të çaktivizuar EDR dhe masa të tjera sigurie. Me kalimin e kohës, ai është përdorur nga bandat famëkeqe të ransomware, duke përfshirë BlackCat , Kuba dhe LockBit . Zhvillimi i tij arriti një moment historik të dukshëm kur krijuesit e tij shfrytëzuan procesin e nënshkrimit të vërtetimit të Microsoft, duke lejuar që drejtuesit e dëmshëm të nënshkruheshin dhe të përdoren me efikasitet më të madh.

Gjatë gjithë vitit 2022 dhe 2023, PoorTry vazhdoi të evoluojë, duke rritur aftësinë e tij për t'iu shmangur zbulimit. Duke inkorporuar mjete mjegullimi siVMProtect , Themida dhe ASMGuard, ai u bë më i aftë për të fshehur qëllimin e tij keqdashës. Sidoqoftë, zhvillimi më shqetësues ndodhi në korrik 2024 kur PoorTry kaloi nga thjesht çaktivizimi i sistemeve EDR në fshirjen e plotë të tyre.

Si funksionon PoorTry

Përsëritja më e fundit e PoorTry fillon me komponentin e tij të modalitetit të përdoruesit, i cili identifikon me përpikëri drejtoritë e instalimit të softuerit të sigurisë dhe identifikon skedarët kritikë. Ky informacion më pas transmetohet në komponentin e modalitetit kernel, i cili ekzekuton sulmin duke përfunduar sistematikisht proceset e sigurisë dhe duke fshirë skedarët thelbësorë.

Aftësia e PoorTry për të synuar skedarët sipas emrit ose llojit shton një shtresë fleksibiliteti operacional, duke i mundësuar atij të mbulojë një spektër të gjerë produktesh EDR. Ky saktësi siguron që vetëm skedarët më kritikë të fshihen, duke minimizuar shanset e zbulimit të hershëm duke maksimizuar ndikimin e sulmit gjatë fazës së kriptimit.

Implikimet e evolucionit të PoorTry

Kalimi nga çaktivizimi EDR në fshirje përfaqëson një përshkallëzim domethënës në taktikat e përdorura nga aktorët e ransomware. Duke hequr aftësinë për të rikuperuar ose rifilluar sistemet EDR, sulmuesit mund të vazhdojnë me enkriptimin të padiskutueshëm, duke i lënë sistemet të prekshme dhe të pambrojtur.

Pavarësisht përpjekjeve të firmave të sigurisë kibernetike si Trend Micro dhe Sophos, të cilat kanë ndjekur evolucionin e PoorTry dhe kanë paralajmëruar për aftësitë e tij në rritje, zhvilluesit që qëndrojnë pas këtij mjeti janë përshtatur vazhdimisht me masat e reja mbrojtëse. Kjo përshtatshmëri nënvizon sfidën e vazhdueshme me të cilën përballen profesionistët e sigurisë për të qëndruar përpara kërcënimeve të tilla të avancuara.

Si të hiqni PoorTry dhe të mbroni sistemin tuaj

Duke pasur parasysh natyrën agresive të PoorTry, është thelbësore të ndërmerrni veprime të menjëhershme nëse dyshoni se sistemi juaj është komprometuar. Këtu është një udhëzues hap pas hapi për të hequr PoorTry dhe për të mbrojtur sistemin tuaj:

  1. Kryeni një skanim të plotë të sistemit me një program anti-malware : Filloni duke përdorur një program me reputacion kundër malware për të kryer një skanim gjithëpërfshirës të sistemit tuaj. Sigurohuni që aplikacioni të jetë i përditësuar me përkufizimet më të fundit të kërcënimit për të zbuluar në mënyrë efektive PoorTry.
  2. Izoloni sistemin e infektuar : Nëse zbulohet PoorTry, izoloni sistemin e infektuar nga rrjeti juaj për të parandaluar përhapjen e mëtejshme të malware.
  3. Heqja e malware : Ndiqni udhëzimet e programit anti-malware për të hequr PoorTry nga sistemi juaj. Kjo mund të përfshijë karantinimin ose fshirjen e skedarëve të infektuar. Sigurohuni që të eliminohen të gjitha gjurmët e malware.
  4. Rivendos softuerin tuaj të sigurisë : Pas heqjes së PoorTry, mund t'ju duhet të riinstaloni ose rivendosni EDR-në tuaj dhe zgjidhje të tjera sigurie për të siguruar që sistemi juaj të mbrohet. Kontrolloni dy herë që të gjithë komponentët kritikë të softuerit tuaj të sigurisë janë të paprekura dhe funksionale.
  5. Përditësoni dhe forconi sistemin tuaj : Mbani të përditësuar sistemin tuaj operativ, aplikacionet dhe softuerin e sigurisë. Aplikoni masa shtesë sigurie, të tilla si segmentimi i rrjetit dhe vërtetimi me shumë faktorë, për të zvogëluar rrezikun e sulmeve të ardhshme.
  6. Monitoroni për kërcënime të mëtejshme : Vazhdoni të monitoroni sistemin tuaj për çdo shenjë riinfeksioni ose aktivitet tjetër të dyshimtë. Qëndroni vigjilentë dhe jini proaktiv në aplikimin e arnimeve dhe përditësimeve të sigurisë.

Evoluimi i PoorTry në një fshirëse EDR shënon një nivel të ri agresioni në taktikat e bandave të ransomware. Duke kuptuar se si funksionon ky malware dhe duke ndërmarrë veprime të shpejta për ta hequr atë, ju mund ta mbroni sistemin tuaj nga dëmtimet e mëtejshme. Përdorni një program të besueshëm anti-malware për të zbuluar dhe eliminuar PoorTry dhe për të siguruar që mbrojtjet tuaja të sigurisë janë mjaft të fuqishme për t'i bërë ballë kërcënimeve të ardhshme. Qëndroni një hap përpara në betejën gjithnjë në ndryshim kundër krimit kibernetik.

PoorTry/BurntCigar Video

Këshillë: Kthejeni tingullin tuaj dhe të shikojnë video në mënyrë të plotë ekran.

Në trend

Më e shikuara

Po ngarkohet...