HomeNewsRansomware-Device killt EDR-Software program | CSO On-line

Ransomware-Device killt EDR-Software program | CSO On-line

Das Ransomware-Toolkit Poortry wurde mit neuen Funktionen ausgestattet, um sich der Erkennung zu entziehen. Es hat sich zu einer Artwork Rootkit entwickelt.

Lerbank-bbk22 – shutterstock.com

Sophos-Forscher stellten kürzlich fest, dass das Ransomware-Toolset namens Poortry (oder BurntCigar genannt) bei einem Angriff dazu verwendet wurde, um EDR-Komponenten vollständig zu löschen. Bei früheren Attacken wurde das Device lediglich dazu benutzt, Prozesse zu beenden.

Pattern Micro berichtete bereits im vergangenen Jahr, dass Poortry diese Funktion hinzugefügt hatte. Trotzdem behauptet Sophos, dass die Fähigkeit EDR-Software program vollständig zu löschen das erste Mal im Juli genutzt wurde.

Was ist Poortry?

Bei Poortry, das zuerst von Mandiant entdeckt wurde, handelt es sich um einen schädlichen Kernel-Treiber, der in Verbindung mit einem Loader namens Stonestop verwendet wird. Dieser versucht, das Microsoft Driver Signature Enforcement zu umgehen. Sowohl der Treiber als auch der Loader werden durch kommerzielle oder Open-Supply-Packer wie VMProtect, Themida oder ASMGuard verschleiert.

See also  Welcome to the fediverse: Your information to Mastodon, Threads, Bluesky, and extra
- Advertisment -spot_img
RELATED ARTICLES

LEAVE A REPLY

Please enter your comment!
Please enter your name here

- Advertisment -

Most Popular