Lerbank-bbk22 – shutterstock.com
Sophos-Forscher stellten kürzlich fest, dass das Ransomware-Toolset namens Poortry (oder BurntCigar genannt) bei einem Angriff dazu verwendet wurde, um EDR-Komponenten vollständig zu löschen. Bei früheren Attacken wurde das Device lediglich dazu benutzt, Prozesse zu beenden.
Pattern Micro berichtete bereits im vergangenen Jahr, dass Poortry diese Funktion hinzugefügt hatte. Trotzdem behauptet Sophos, dass die Fähigkeit EDR-Software program vollständig zu löschen das erste Mal im Juli genutzt wurde.
Was ist Poortry?
Bei Poortry, das zuerst von Mandiant entdeckt wurde, handelt es sich um einen schädlichen Kernel-Treiber, der in Verbindung mit einem Loader namens Stonestop verwendet wird. Dieser versucht, das Microsoft Driver Signature Enforcement zu umgehen. Sowohl der Treiber als auch der Loader werden durch kommerzielle oder Open-Supply-Packer wie VMProtect, Themida oder ASMGuard verschleiert.
