PoorTry/BurntCigar
サイバー脅威の状況では、カーネル モードの Windows ドライバーである PoorTry が進化し、より破壊的な方向へと向かっています。当初はエンドポイント検出および対応 (EDR) ソリューションを無効にするために設計された PoorTry は、現在では EDR ワイパーになっています。この進化により、ランサムウェア ギャングはセキュリティ ソフトウェアの動作に不可欠なファイルを削除できるようになり、システムを無防備にし、復旧をはるかに困難にしています。
目次
PoorTry の進化: 無効化から破壊へ
PoorTryは別名「BurntCigar」としても知られ、2021年に登場して以来、ランサムウェアグループの重要な武器となっています。当初は、EDRやその他のセキュリティ対策を無効にするために開発されました。時が経つにつれ、 BlackCat 、 Cuba 、 LockBitなどの悪名高いランサムウェア集団によって利用されるようになりました。その開発は、作成者がMicrosoftの認証署名プロセスを悪用し、悪意のあるドライバーに署名してより効果的に使用できるようになったことで、注目すべきマイルストーンに達しました。
2022年から2023年にかけて、PoorTryは進化を続け、検出を回避する能力を強化しました。VMProtect、 Themida 、ASMGuardなどの難読化ツールを組み込むことで、悪意のある意図を隠すのがより巧妙になりました。しかし、最も懸念される展開は、PoorTryがEDRシステムを単に無効化する段階から、完全に消去する段階に移行した2024年7月に発生しました。
PoorTryの仕組み
PoorTry の最新版は、ユーザー モード コンポーネントから始まり、セキュリティ ソフトウェアのインストール ディレクトリを細かく識別し、重要なファイルを特定します。次に、この情報はカーネル モード コンポーネントに中継され、セキュリティ プロセスを体系的に終了し、重要なファイルを削除することで攻撃を実行します。
PoorTry は、名前またはタイプでファイルをターゲットにできるため、運用の柔軟性が高まり、幅広い EDR 製品に対応できます。この精度により、最も重要なファイルのみが削除され、早期検出の可能性が最小限に抑えられ、暗号化フェーズでの攻撃の影響が最大化されます。
PoorTryの進化が意味するもの
EDR の無効化からワイプへの移行は、ランサムウェア攻撃者が使用する戦術の大幅なエスカレーションを表しています。EDR システムを回復または再起動する機能を削除することで、攻撃者は暗号化を妨害されることなく続行でき、システムを脆弱で無防備な状態のままにすることができます。
トレンドマイクロやソフォスなどのサイバーセキュリティ企業が PoorTry の進化を追跡し、その機能の増大について警告してきたにもかかわらず、このツールの開発者は、常に新しい防御手段に適応してきました。この適応性は、セキュリティ専門家がこのような高度な脅威に先手を打つために直面する継続的な課題を強調しています。
PoorTry を削除してシステムを保護する方法
PoorTry の攻撃的な性質を考えると、システムが侵害された疑いがある場合は、直ちに行動を起こすことが重要です。PoorTry を削除してシステムを保護するための手順を次に示します。
- マルウェア対策プログラムを使用してシステム全体のスキャンを実行する: 信頼できるマルウェア対策プログラムを使用して、システムの包括的なスキャンを実行することから始めます。PoorTry を効果的に検出するには、アプリケーションが最新の脅威定義で更新されていることを確認してください。
- 感染したシステムを隔離する: PoorTry が検出された場合は、マルウェアのさらなる拡散を防ぐために、感染したシステムをネットワークから隔離します。
- マルウェアを削除する: マルウェア対策プログラムの指示に従って、システムから PoorTry を削除します。感染したファイルの隔離や削除が必要になる場合があります。マルウェアの痕跡がすべて除去されていることを確認してください。
- セキュリティ ソフトウェアを復元する: PoorTry を削除した後、システムが保護されていることを確認するために、EDR やその他のセキュリティ ソリューションを再インストールまたは復元する必要がある場合があります。セキュリティ ソフトウェアのすべての重要なコンポーネントがそのまま機能していることを再確認してください。
- システムを更新して強化する: オペレーティング システム、アプリケーション、セキュリティ ソフトウェアを最新の状態に保ちます。ネットワーク セグメンテーションや多要素認証などの追加のセキュリティ対策を適用して、将来の攻撃のリスクを軽減します。
- さらなる脅威を監視する: 再感染やその他の疑わしいアクティビティの兆候がないか、システムを継続的に監視します。常に警戒し、セキュリティ パッチと更新プログラムを積極的に適用してください。
PoorTry が EDR ワイパーに進化したことで、ランサムウェア集団の戦術は新たなレベルの攻撃性を持つようになりました。このマルウェアの動作を理解し、迅速に駆除することで、システムをさらなる被害から守ることができます。信頼性の高いマルウェア対策プログラムを使用して PoorTry を検出して駆除し、セキュリティ防御が将来の脅威に耐えられるほど強固なものとなるようにしてください。常に変化するサイバー犯罪との戦いで常に一歩先を行きましょう。
PoorTry/BurntCigarビデオ
ヒント:サウンドをオンにして、フルスクリーンモードでビデオを視聴します。