攻击者使用含有弱点的驱动程式,从而得到系统核心层级的权限,干扰防毒软体或EDR运作,其中一种被勒索软体骇客利用的驱动程式PoorTry(或叫做BurntCigar),最近被发现更具破坏威力。
资安业者Sophos在针对这样的态势,研究人员指出,PoorTry发展至今,已从原本单纯让防毒软体、EDR与系统脱钩的工具,发展成类似Rootkit的恶意软体,不只能对于控制低阶作业系统功能的API进行控制,也可以直接从磁碟破坏EDR系统,从而为勒索软体的加密工作铺平道路。目前他们已确认有5个勒索软体骇客组织使用这项工具,这些组织是:BlackCat、Cuba、LockBit、Medusa、RansomHub。
此恶意驱动程式最早在2022年底由资安业者