El controlador malicioso en modo kernel de Windows, PoorTry, utilizado por varias bandas de ransomware para desactivar las soluciones de detección y respuesta de endpoints (EDR) se ha convertido en un borrador de EDR, que elimina archivos críticos para el funcionamiento de las soluciones de seguridad y dificulta la recuperación.
Sin embargo Tendencia Micro Había advertido sobre esta característica agregada en Poortry desde mayo de 2023, Sophos ahora ha confirmado que ha visto ataques de borrado EDR en la naturaleza.
Esta evolución de PoorTry de un desactivador de EDR a un borrador de EDR representa un cambio de táctica muy agresivo por parte de los actores del ransomware, que ahora están favoreciendo una fase de configuración más disruptiva para garantizar mejores resultados en la etapa de cifrado.
PoorTry, también conocido como “BurntCigar”, se desarrolló en 2021 como un controlador en modo kernel para desactivar EDR y otro software de seguridad.
El kit, utilizado por varias bandas de ransomware, incluidas BlackCat, Cuba y LockBit, llamó la atención por primera vez cuando sus desarrolladores encontraron formas de firmar sus controladores maliciosos a través del proceso de firma de certificación de Microsoft. Otros grupos de ciberdelincuencia, como Scattered Spider, han sido también visto usando la herramienta en infracciones centradas en robo de credenciales y ataques de intercambio de SIM.
A lo largo de 2022 y 2023, Poortry continuó evolucionando, optimizando su código y utilizando herramientas de ofuscación como VMProtect, Themida y ASMGuard para empaquetar el controlador y su cargador (Stonestop) para la evasión.
Evolución hacia un limpiaparabrisas
EL último informe de Sophos se basa en un ataque RansomHub de julio de 2024 que utilizó Poortry para eliminar archivos ejecutables críticos (EXE), bibliotecas de enlaces dinámicos (DLL) y otros componentes esenciales del software de seguridad.
Esto garantiza que los defensores no puedan recuperar ni reiniciar el software EDR, dejando el sistema completamente desprotegido en la siguiente fase de cifrado del ataque.
El proceso comienza con el componente de modo de usuario de PoorTry, identificando los directorios de instalación del software de seguridad y los archivos críticos en esos directorios.
Luego envía solicitudes al componente en modo kernel para finalizar sistemáticamente los procesos relacionados con la seguridad y luego eliminar sus archivos cruciales.
Las rutas a estos archivos están codificadas en PoorTry, mientras que el componente en modo de usuario admite la eliminación por nombre o tipo de archivo, lo que le brinda cierta flexibilidad operativa para cubrir una gama más amplia de productos EDR.
fuente: Sophos
El malware se puede ajustar sólo para eliminar archivos críticos para el funcionamiento del EDR, evitando así ruido innecesario en las riesgosas primeras etapas del ataque.
Sophos también señala que las últimas variantes de Poortry utilizan la manipulación de la marca de tiempo de la firma para eludir los controles de seguridad en Windows y utilizan metadatos de otro software como Internet Download Manager de Tonec Inc.
fuente: Sophos
Se ha visto a los atacantes empleando una táctica conocida como “ruleta de certificados”, donde implementan múltiples variaciones de la misma carga útil firmada con diferentes certificados para aumentar sus posibilidades de que al menos uno de ellos se ejecute correctamente.
fuente: Sophos
A pesar de los esfuerzos por seguir la evolución de PoorTry y detener su eficacia, los desarrolladores de la herramienta han demostrado una notable capacidad para adaptarse a nuevas medidas de defensa.
La función de borrado de EDR le da a la herramienta una ventaja sobre los defensores que responden a los ataques, pero también podría brindar nuevas oportunidades para detectar ataques en la fase previa al cifrado.