被称为BlackCat或ALPHV的勒索软件操作者被发现使用已知恶意软件的更新版本，这使他们能够提升目标端点的权限并终止计算机可能运行的任何防病毒或端点安全解决方案。

该消息由趋势科技的研究人员提供，他们发现了更新的恶意软件。

据研究人员称，该恶意软件被称为“POORTRY”。它于去年年底首次被发现，当时来自Microsoft、Mandiant、Sophos和SentinelOne的研究人员都发现POORTRY被用来禁用防病毒程序，为部署勒索软件做准备。当时，人们发现POORTRY是一个Windows内核驱动程序，使用从真实的MicrosoftWindows硬件开发人员计划帐户窃取的密钥进行签名。

然而，随着代码签名密钥很快被撤销，并且恶意软件得到了大量的媒体报道，大多数防病毒程序开始检测它，促使攻击者进行更新。研究人员表示，现在这个新版本是使用被盗或泄露的交叉签名证书进行签名的。

除了用于终止任何系统进程外，该驱动程序还可以用于删除特定文件路径、强制复制和强制删除文件、复制文件、注册和取消注册进程，甚至重新启动系统。还值得一提的是，并非所有这些功能都按预期工作，这导致研究人员相信该恶意软件仍在开发或处于测试阶段。

使用原始POORTRY恶意软件的组织被识别为UNC3944，也称为0ktapus或ScatteredSpider。BlackCat(ALPHV)使用这个新版本。尽管很难下定论，但研究人员确实暗示这两个群体之间可能存在“松散的联系”。