Ransomware-Tool killt EDR-Software | CSO Online

Das Ransomware-Toolkit Poortry wurde mit neuen Funktionen ausgestattet, um sich der Erkennung zu entziehen. Es hat sich zu einer Art Rootkit entwickelt.

Lerbank-bbk22 – shutterstock.com

Sophos-Forscher stellten kürzlich fest, dass das Ransomware-Toolset namens Poortry (oder BurntCigar genannt) bei einem Angriff dazu verwendet wurde, um EDR-Komponenten vollständig zu löschen. Bei früheren Attacken wurde das Tool lediglich dazu benutzt, Prozesse zu beenden.

Trend Micro berichtete bereits im vergangenen Jahr, dass Poortry diese Funktion hinzugefügt hatte. Trotzdem behauptet Sophos, dass die Fähigkeit EDR-Software vollständig zu löschen das erste Mal im Juli genutzt wurde.

Was ist Poortry?

Bei Poortry, das zuerst von Mandiant entdeckt wurde, handelt es sich um einen schädlichen Kernel-Treiber, der in Verbindung mit einem Loader namens Stonestop verwendet wird. Dieser versucht, das Microsoft Driver Signature Enforcement zu umgehen. Sowohl der Treiber als auch der Loader werden durch kommerzielle oder Open-Source-Packer wie VMProtect, Themida oder ASMGuard verschleiert.