PoorTry/BurntCigar
ภูมิทัศน์ของภัยคุกคามทางไซเบอร์ได้เห็นวิวัฒนาการของ PoorTry ซึ่งเป็นไดรเวอร์ Windows โหมดเคอร์เนลที่เปลี่ยนไปในทางทำลายล้างมากขึ้น PoorTry ออกแบบมาเพื่อปิดการใช้งานโซลูชันการตรวจจับและตอบสนองจุดสิ้นสุด (EDR) ในตอนแรก ปัจจุบันได้กลายเป็นตัวล้าง EDR วิวัฒนาการนี้ทำให้กลุ่มแรนซัมแวร์สามารถลบไฟล์ที่สำคัญสำหรับการทำงานของซอฟต์แวร์รักษาความปลอดภัย ทำให้ระบบไม่สามารถป้องกันตัวเองได้ และทำให้การกู้คืนทำได้ยากขึ้นมาก
สารบัญ
วิวัฒนาการของ PoorTry: จากการปิดการใช้งานสู่การทำลายล้าง
PoorTry หรือที่รู้จักกันในชื่อ "BurntCigar" เป็นเครื่องมือสำคัญในกลุ่มแรนซัมแวร์ตั้งแต่ก่อตั้งในปี 2021 ในช่วงแรกนั้น มันถูกพัฒนาขึ้นเพื่อปิดการใช้งาน EDR และมาตรการรักษาความปลอดภัยอื่นๆ เมื่อเวลาผ่านไป มันถูกใช้โดยกลุ่มแรนซัมแวร์ที่มีชื่อเสียง เช่น BlackCat , Cuba และ LockBit การพัฒนาของมันไปถึงจุดหมายสำคัญเมื่อผู้สร้างใช้ประโยชน์จากกระบวนการลงนามรับรองของ Microsoft ทำให้สามารถลงนามและใช้ไดรเวอร์ที่เป็นอันตรายได้อย่างมีประสิทธิภาพมากขึ้น
ตลอดปี 2022 และ 2023 PoorTry ยังคงพัฒนาอย่างต่อเนื่อง โดยเพิ่มความสามารถในการหลบเลี่ยงการตรวจจับ ด้วยการใช้เครื่องมือพรางข้อมูล เช่นVMProtect , Themida และ ASMGuard ทำให้ PoorTry เชี่ยวชาญในการซ่อนเจตนาที่เป็นอันตรายมากขึ้น อย่างไรก็ตาม การพัฒนาที่น่ากังวลที่สุดเกิดขึ้นในเดือนกรกฎาคม 2024 เมื่อ PoorTry เปลี่ยนจากการปิดใช้งานระบบ EDR เพียงอย่างเดียวเป็นการลบระบบทั้งหมด
PoorTry ทำงานอย่างไร
PoorTry เวอร์ชันล่าสุดเริ่มต้นด้วยส่วนประกอบโหมดผู้ใช้ ซึ่งระบุไดเรกทอรีการติดตั้งซอฟต์แวร์ความปลอดภัยอย่างละเอียดและระบุไฟล์ที่สำคัญ จากนั้นข้อมูลนี้จะถูกส่งต่อไปยังส่วนประกอบโหมดเคอร์เนล ซึ่งดำเนินการโจมตีโดยยุติกระบวนการรักษาความปลอดภัยอย่างเป็นระบบและลบไฟล์สำคัญ
ความสามารถของ PoorTry ในการกำหนดเป้าหมายไฟล์ตามชื่อหรือประเภทช่วยเพิ่มความยืดหยุ่นในการใช้งาน ทำให้สามารถครอบคลุมผลิตภัณฑ์ EDR ได้หลากหลายประเภท ความแม่นยำนี้ช่วยให้มั่นใจได้ว่าจะลบเฉพาะไฟล์ที่สำคัญที่สุดเท่านั้น ช่วยลดโอกาสในการตรวจพบในระยะเริ่มต้น และเพิ่มผลกระทบของการโจมตีในช่วงการเข้ารหัสให้สูงสุด
ผลกระทบจากวิวัฒนาการของ PoorTry
การเปลี่ยนจากการปิดใช้งาน EDR ไปเป็นการล้างข้อมูลถือเป็นการยกระดับยุทธวิธีที่ผู้ก่ออาชญากรรมเรียกค่าไถ่ใช้อย่างมีนัยสำคัญ การลบความสามารถในการกู้คืนหรือรีสตาร์ทระบบ EDR ออกไปทำให้ผู้โจมตีสามารถดำเนินการเข้ารหัสต่อไปได้โดยไม่มีการท้าทาย ทำให้ระบบเสี่ยงต่ออันตรายและไม่สามารถป้องกันตัวเองได้
แม้ว่าบริษัทด้านความปลอดภัยทางไซเบอร์ เช่น Trend Micro และ Sophos จะพยายามติดตามวิวัฒนาการของ PoorTry และเตือนเกี่ยวกับความสามารถที่เพิ่มขึ้น แต่ผู้พัฒนาเบื้องหลังเครื่องมือนี้ยังคงปรับตัวให้เข้ากับมาตรการป้องกันใหม่ๆ อย่างต่อเนื่อง ความสามารถในการปรับตัวนี้เน้นย้ำถึงความท้าทายที่ผู้เชี่ยวชาญด้านความปลอดภัยต้องเผชิญในการก้าวให้ทันภัยคุกคามขั้นสูงดังกล่าว
วิธีลบ PoorTry และปกป้องระบบของคุณ
เนื่องจาก PoorTry มีลักษณะก้าวร้าว จึงจำเป็นต้องดำเนินการทันทีหากคุณสงสัยว่าระบบของคุณถูกบุกรุก นี่คือคำแนะนำทีละขั้นตอนในการลบ PoorTry และปกป้องระบบของคุณ:
- เรียกใช้การสแกนระบบทั้งหมดด้วยโปรแกรมต่อต้านมัลแวร์ : เริ่มต้นด้วยการใช้โปรแกรมต่อต้านมัลแวร์ที่มีชื่อเสียงเพื่อสแกนระบบของคุณอย่างครอบคลุม ตรวจสอบให้แน่ใจว่าแอปพลิเคชันได้รับการอัปเดตด้วยคำจำกัดความภัยคุกคามล่าสุดเพื่อตรวจจับ PoorTry ได้อย่างมีประสิทธิภาพ
- แยกระบบที่ติดไวรัส : หากตรวจพบ PoorTry ให้แยกระบบที่ติดไวรัสออกจากเครือข่ายของคุณเพื่อป้องกันการแพร่กระจายของมัลแวร์เพิ่มเติม
- กำจัดมัลแวร์ : ปฏิบัติตามคำแนะนำของโปรแกรมป้องกันมัลแวร์เพื่อลบ PoorTry ออกจากระบบของคุณ ซึ่งอาจรวมถึงการกักกันหรือลบไฟล์ที่ติดไวรัส ตรวจสอบให้แน่ใจว่ากำจัดร่องรอยของมัลแวร์ทั้งหมดแล้ว
- กู้คืนซอฟต์แวร์ความปลอดภัยของคุณ : หลังจากลบ PoorTry ออกแล้ว คุณอาจต้องติดตั้งใหม่หรือกู้คืน EDR และโซลูชันความปลอดภัยอื่นๆ เพื่อให้แน่ใจว่าระบบของคุณได้รับการปกป้อง ตรวจสอบซ้ำอีกครั้งว่าส่วนประกอบสำคัญทั้งหมดของซอฟต์แวร์ความปลอดภัยของคุณยังคงสมบูรณ์และทำงานได้
- อัปเดตและทำให้ระบบของคุณแข็งแกร่งขึ้น : อัปเดตระบบปฏิบัติการ แอปพลิเคชัน และซอฟต์แวร์ความปลอดภัยของคุณให้เป็นปัจจุบัน ใช้มาตรการรักษาความปลอดภัยเพิ่มเติม เช่น การแบ่งส่วนเครือข่ายและการตรวจสอบสิทธิ์หลายปัจจัย เพื่อลดความเสี่ยงของการโจมตีในอนาคต
- ตรวจสอบภัยคุกคามเพิ่มเติม : ตรวจสอบระบบของคุณอย่างต่อเนื่องเพื่อดูว่ามีสัญญาณของการติดไวรัสซ้ำหรือกิจกรรมที่น่าสงสัยอื่นๆ หรือไม่ คอยระวังและดำเนินการเชิงรุกในการติดตั้งแพตช์และอัปเดตด้านความปลอดภัย
วิวัฒนาการของ PoorTry ไปสู่การเป็นเครื่องมือกำจัด EDR ถือเป็นการรุกในระดับใหม่ของกลุ่มอาชญากรเรียกค่าไถ่ โดยการทำความเข้าใจวิธีการทำงานของมัลแวร์นี้และดำเนินการอย่างรวดเร็วเพื่อกำจัดมัน คุณสามารถปกป้องระบบของคุณจากความเสียหายเพิ่มเติมได้ ใช้โปรแกรมต่อต้านมัลแวร์ที่เชื่อถือได้เพื่อตรวจจับและกำจัด PoorTry และตรวจสอบให้แน่ใจว่าการป้องกันความปลอดภัยของคุณแข็งแกร่งเพียงพอที่จะต้านทานภัยคุกคามในอนาคต ก้าวไปข้างหน้าหนึ่งก้าวในการต่อสู้กับอาชญากรรมทางไซเบอร์ที่เปลี่ยนแปลงอยู่ตลอดเวลา
PoorTry/BurntCigar วิดีโอ
เคล็ดลับ: เปิดเสียงของคุณและดูวิดีโอในโหมดเต็มหน้าจอ