PoorTry/BurntCigar

Siber tehdit manzarası, daha yıkıcı bir hal alan bir çekirdek modu Windows sürücüsü olan PoorTry'nin evrimine tanık oldu. Başlangıçta Uç Nokta Algılama ve Yanıt (EDR) çözümlerini devre dışı bırakmak için tasarlanan PoorTry, artık bir EDR silicisi haline geldi. Bu evrim, fidye yazılımı çetelerinin güvenlik yazılımı işlemleri için önemli olan dosyaları silmesine, sistemleri savunmasız hale getirmesine ve kurtarmayı çok daha zor hale getirmesine olanak tanır.

PoorTry'ın Evrimi: Devre Dışı Bırakmadan Yıkıma

PoorTry, "BurntCigar" takma adıyla da bilinir ve 2021'deki başlangıcından bu yana fidye yazılımı gruplarının cephaneliğinde önemli bir araç olmuştur. Başlangıçta, EDR ve diğer güvenlik önlemlerini devre dışı bırakmak için geliştirilmiştir. Zamanla, BlackCat , Cuba ve LockBit gibi kötü şöhretli fidye yazılımı çeteleri tarafından kullanılmıştır. Yaratıcıları Microsoft'un tasdik imzalama sürecini istismar ederek kötü amaçlı sürücülerin daha etkili bir şekilde imzalanmasını ve kullanılmasını sağladığında gelişimi önemli bir dönüm noktasına ulaşmıştır.

2022 ve 2023 boyunca PoorTry, tespitten kaçınma yeteneğini geliştirerek gelişmeye devam etti.VMProtect , Themida ve ASMGuard gibi karartma araçlarını dahil ederek kötü niyetli niyetini gizlemede daha yetenekli hale geldi. Ancak en endişe verici gelişme, Temmuz 2024'te PoorTry'nin yalnızca EDR sistemlerini devre dışı bırakmaktan onları tamamen silmeye geçiş yapmasıyla gerçekleşti.

PoorTry Nasıl Çalışır?

PoorTry'ın en son yinelemesi, güvenlik yazılımlarının kurulum dizinlerini titizlikle tanımlayan ve kritik dosyaları belirleyen kullanıcı modu bileşeniyle başlar. Bu bilgi daha sonra, güvenlik süreçlerini sistematik olarak sonlandırarak ve temel dosyaları silerek saldırıyı gerçekleştiren çekirdek modu bileşenine iletilir.

PoorTry'ın dosyaları ad veya türe göre hedefleme yeteneği, operasyonel esneklik katmanı ekleyerek geniş bir EDR ürünleri yelpazesini kapsamasını sağlar. Bu hassasiyet, yalnızca en kritik dosyaların silinmesini sağlayarak erken tespit şansını en aza indirirken şifreleme aşamasında saldırının etkisini en üst düzeye çıkarır.

PoorTry'ın Evriminin Sonuçları

EDR devre dışı bırakmadan silmeye geçiş, fidye yazılımı aktörleri tarafından kullanılan taktiklerde anlamlı bir artış anlamına gelir. EDR sistemlerini kurtarma veya yeniden başlatma yeteneğini kaldırarak, saldırganlar şifrelemeyi itirazsız bir şekilde sürdürebilir ve sistemleri savunmasız ve savunmasız bırakabilir.

Trend Micro ve Sophos gibi PoorTry'ın evrimini izleyen ve artan yetenekleri konusunda uyarıda bulunan siber güvenlik şirketlerinin çabalarına rağmen, bu aracın arkasındaki geliştiriciler sürekli olarak yeni savunma önlemlerine uyum sağladı. Bu uyum sağlama yeteneği, güvenlik uzmanlarının bu tür gelişmiş tehditlerin önünde kalma konusunda karşılaştıkları devam eden zorluğun altını çiziyor.

PoorTry'ı Nasıl Kaldırırsınız ve Sisteminizi Nasıl Korursunuz

PoorTry'ın saldırgan doğası göz önüne alındığında, sisteminizin tehlikeye girdiğinden şüpheleniyorsanız hemen harekete geçmek önemlidir. İşte PoorTry'ı kaldırma ve sisteminizi koruma konusunda adım adım bir kılavuz:

  1. Bir Anti-Malware Programıyla Tam Sistem Taraması Çalıştırın : Sisteminizin kapsamlı bir taramasını gerçekleştirmek için saygın bir anti-malware programı kullanarak başlayın. PoorTry'ı etkili bir şekilde tespit etmek için uygulamanın en son tehdit tanımlarıyla güncel olduğundan emin olun.
  2. Enfekte Sistemi İzole Edin : PoorTry tespit edilirse, kötü amaçlı yazılımın daha fazla yayılmasını önlemek için enfekte sistemi ağınızdan izole edin.
  3. Kötü Amaçlı Yazılımı Kaldırın : PoorTry'ı sisteminizden kaldırmak için kötü amaçlı yazılım önleme programının talimatlarını izleyin. Bu, enfekte olmuş dosyaları karantinaya almayı veya silmeyi içerebilir. Kötü amaçlı yazılımın tüm izlerinin ortadan kaldırıldığından emin olun.
  4. Güvenlik Yazılımınızı Geri Yükleyin : PoorTry'ı kaldırdıktan sonra, sisteminizin korunduğundan emin olmak için EDR'nizi ve diğer güvenlik çözümlerinizi yeniden yüklemeniz veya geri yüklemeniz gerekebilir. Güvenlik yazılımınızın tüm kritik bileşenlerinin sağlam ve çalışır durumda olduğundan emin olun.
  5. Sisteminizi Güncelleyin ve Güçlendirin : İşletim sisteminizi, uygulamalarınızı ve güvenlik yazılımınızı güncel tutun. Gelecekteki saldırı riskini azaltmak için ağ segmentasyonu ve çok faktörlü kimlik doğrulama gibi ek güvenlik önlemleri uygulayın.
  6. Daha Fazla Tehdide Karşı İzleme : Sisteminizi yeniden enfeksiyon veya diğer şüpheli aktivite belirtilerine karşı izlemeye devam edin. Dikkatli olun ve güvenlik yamalarını ve güncellemelerini uygulamada proaktif olun.

PoorTry'ın bir EDR siliciye dönüşmesi, fidye yazılımı çetelerinin taktiklerinde yeni bir saldırganlık seviyesini işaret ediyor. Bu kötü amaçlı yazılımın nasıl çalıştığını anlayarak ve onu kaldırmak için hızlı bir şekilde harekete geçerek sisteminizi daha fazla hasardan koruyabilirsiniz. PoorTry'ı tespit etmek ve ortadan kaldırmak için güvenilir bir kötü amaçlı yazılım önleme programı kullanın ve güvenlik savunmalarınızın gelecekteki tehditlere dayanacak kadar sağlam olduğundan emin olun. Siber suçlara karşı sürekli değişen mücadelede bir adım önde olun.

PoorTry/BurntCigar Video

İpucu: Sesi AÇIN ve videoyu Tam Ekran modunda izleyin .

trend

En çok görüntülenen

Yükleniyor...