Banta sa Database Malware PoorTry/BurntCigar

PoorTry/BurntCigar

Nasaksihan ng cyber threat landscape ang ebolusyon ng PoorTry, isang kernel-mode na Windows driver na naging mas mapanira. Idinisenyo noong una upang hindi paganahin ang mga solusyon sa Endpoint Detection and Response (EDR), ang PoorTry ay naging isang EDR na wiper. Ang ebolusyon na ito ay nagbibigay-daan sa mga ransomware gang na magtanggal ng mga file na mahalaga para sa mga pagpapatakbo ng software ng seguridad, ginagawang walang pagtatanggol ang mga system at ginagawang mas mahirap ang pagbawi.

Ang Ebolusyon ng PoorTry: Mula sa Pag-deactivate hanggang sa Pagkasira

Ang PoorTry, na kilala rin sa alyas nitong "BurntCigar," ay naging isang makabuluhang tool sa arsenal ng mga pangkat ng ransomware mula nang mabuo ito noong 2021. Sa una, ito ay binuo upang hindi paganahin ang EDR at iba pang mga hakbang sa seguridad. Sa paglipas ng panahon, ginamit ito ng mga kilalang ransomware gang, kabilang ang BlackCat , Cuba at LockBit . Ang pag-unlad nito ay umabot sa isang kapansin-pansing milestone nang pinagsamantalahan ng mga tagalikha nito ang proseso ng pagpirma ng pagpapatunay ng Microsoft, na nagpapahintulot sa mga nakakahamak na driver na mapirmahan at magamit nang may higit na kahusayan.

Sa buong 2022 at 2023, patuloy na umunlad ang PoorTry, na pinahusay ang kakayahan nitong umiwas sa pagtuklas. Sa pamamagitan ng pagsasama ng mga obfuscation tool tulad ngVMProtect , Themida at ASMGuard, naging mas mahusay itong itago ang malisyosong layunin nito. Gayunpaman, naganap ang pinakakapansin-pansing pag-unlad noong Hulyo 2024 nang lumipat ang PoorTry mula sa hindi pagpapagana ng mga sistema ng EDR tungo sa ganap na pagtanggal sa mga ito.

Paano Gumagana ang PoorTry

Ang pinakabagong pag-ulit ng PoorTry ay nagsisimula sa bahagi ng user-mode nito, na maingat na tinutukoy ang mga direktoryo ng pag-install ng software ng seguridad at tinutukoy ang mga kritikal na file. Ang impormasyong ito ay ipinadala sa bahagi ng kernel-mode, na nagsasagawa ng pag-atake sa pamamagitan ng sistematikong pagwawakas ng mga proseso ng seguridad at pagtanggal ng mga mahahalagang file.

Ang kakayahan ng PoorTry na mag-target ng mga file ayon sa pangalan o uri ay nagdaragdag ng isang layer ng kakayahang umangkop sa pagpapatakbo, na nagbibigay-daan dito upang masakop ang isang malawak na spectrum ng mga produkto ng EDR. Tinitiyak ng katumpakan na ito na ang pinakamahalagang file lang ang matatanggal, na pinapaliit ang mga pagkakataon ng maagang pagtuklas habang pinapalaki ang epekto ng pag-atake sa panahon ng yugto ng pag-encrypt.

Ang mga Implikasyon ng Ebolusyon ng PoorTry

Ang paglipat mula sa pag-deactivate ng EDR patungo sa pagpupunas ay kumakatawan sa isang makabuluhang pagtaas sa mga taktika na ginagamit ng mga aktor ng ransomware. Sa pamamagitan ng pag-alis ng kakayahang mag-recover o mag-restart ng mga EDR system, ang mga attacker ay maaaring magpatuloy sa pag-encrypt nang hindi hinahamon, na nagiging sanhi ng mga system na mahina at walang pagtatanggol.

Sa kabila ng mga pagsisikap ng mga cybersecurity firm tulad ng Trend Micro at Sophos, na sumubaybay sa ebolusyon ng PoorTry at nagbabala tungkol sa pagtaas ng mga kakayahan nito, ang mga developer sa likod ng tool na ito ay patuloy na umaangkop sa mga bagong hakbang sa pagtatanggol. Ang kakayahang umangkop na ito ay binibigyang-diin ang patuloy na hamon na kinakaharap ng mga propesyonal sa seguridad sa pananatiling nangunguna sa gayong mga advanced na banta.

Paano Alisin ang PoorTry at Protektahan ang Iyong System

Dahil sa pagiging agresibo ng PoorTry, mahalagang gumawa ng agarang pagkilos kung pinaghihinalaan mong nakompromiso ang iyong system. Narito ang isang hakbang-hakbang na gabay sa pag-alis ng PoorTry at pag-iingat sa iyong system:

  1. Magpatakbo ng Buong System Scan gamit ang isang Anti-Malware Program : Magsimula sa pamamagitan ng paggamit ng isang kagalang-galang na anti-malware program upang magsagawa ng komprehensibong pag-scan ng iyong system. Tiyakin na ang application ay napapanahon sa pinakabagong mga kahulugan ng pagbabanta upang matukoy nang epektibo ang PoorTry.
  2. Ihiwalay ang Infected System : Kung may nakitang PoorTry, ihiwalay ang infected na system sa iyong network upang maiwasan ang karagdagang pagkalat ng malware.
  3. Alisin ang Malware : Sundin ang mga tagubilin ng anti-malware program upang alisin ang PoorTry sa iyong system. Maaaring kabilang dito ang pag-quarantine o pagtanggal ng mga nahawaang file. Tiyaking maalis ang lahat ng bakas ng malware.
  4. Ibalik ang Iyong Software sa Seguridad : Pagkatapos alisin ang PoorTry, maaaring kailanganin mong i-install muli o i-restore ang iyong EDR at iba pang mga solusyon sa seguridad upang matiyak na protektado ang iyong system. I-double-check na ang lahat ng kritikal na bahagi ng iyong software ng seguridad ay buo at gumagana.
  5. I-update at Patigasin ang Iyong System : Panatilihing napapanahon ang iyong operating system, mga application, at software ng seguridad. Maglapat ng mga karagdagang hakbang sa seguridad, tulad ng network segmentation at multi-factor authentication, upang mabawasan ang panganib ng mga pag-atake sa hinaharap.
  6. Subaybayan para sa Karagdagang mga Banta : Patuloy na subaybayan ang iyong system para sa anumang mga palatandaan ng muling impeksyon o iba pang kahina-hinalang aktibidad. Manatiling mapagbantay at maging maagap sa paglalapat ng mga patch at update sa seguridad.

Ang ebolusyon ng PoorTry sa isang EDR na wiper ay nagmamarka ng bagong antas ng pagsalakay sa mga taktika ng mga ransomware gang. Sa pamamagitan ng pag-unawa kung paano gumagana ang malware na ito at mabilis na pagkilos para maalis ito, mapoprotektahan mo ang iyong system mula sa karagdagang pinsala. Gumamit ng isang maaasahang programang anti-malware upang matukoy at maalis ang PoorTry at matiyak na ang iyong mga panlaban sa seguridad ay sapat na matatag upang mapaglabanan ang mga banta sa hinaharap. Manatiling isang hakbang sa unahan sa patuloy na pagbabago ng labanan laban sa cybercrime.

PoorTry/BurntCigar Video

Tip: I- ON ang iyong tunog at panoorin ang video sa Full Screen mode .

Trending

Pinaka Nanood

Naglo-load...