O driver malicioso em modo kernel para Windows, PoorTry, utilizado por várias gangues de ransomware para desativar soluções de Endpoint Detection and Response (EDR), evoluiu para um "wiper" de EDR, deletando arquivos cruciais para a operação de soluções de segurança e tornando mais difícil a restauração.
Embora a Trend Micro tenha alertado sobre essa funcionalidade adicionada ao Poortry desde maio de 2023, a Sophos agora confirmou ter visto os ataques de "wiping" de EDR no ambiente real.
Essa evolução do PoorTry, de um desativador de EDR para um "wiper" de EDR, representa uma mudança muito agressiva nas táticas dos atores de ransomware, que agora priorizam uma fase de configuração mais disruptiva para garantir melhores resultados na etapa de criptografia.
PoorTry, também conhecido como 'BurntCigar', foi desenvolvido em 2021 como um driver em modo kernel para desabilitar EDRs e outros softwares de segurança.
O kit, utilizado por várias gangues de ransomware, incluindo BlackCat, Cuba e LockBit, ganhou atenção quando seus desenvolvedores encontraram formas de fazer com que seus drivers maliciosos fossem assinados através do processo de assinatura de atestação da Microsoft.
Outros grupos de cibercrime, como o Scattered Spider, também foram vistos utilizando a ferramenta em violações focadas em roubo de credenciais e ataques de "SIM-swapping".
Ao longo de 2022 e 2023, o Poortry continuou a evoluir, otimizando seu código e utilizando ferramentas de ofuscação como VMProtect, Themida e ASMGuard para empacotar o driver e seu carregador (Stonestop) para evasão.
O relatório mais recente da Sophos é baseado em um ataque do RansomHub em julho de 2024 que empregou Poortry para deletar arquivos executáveis críticos (EXEs), bibliotecas de vínculo dinâmico (DLLs) e outros componentes essenciais de softwares de segurança.
Isso garante que o software de EDR não possa ser recuperado ou reiniciado pelos defensores, deixando o sistema completamente desprotegido na fase de criptografia do ataque seguinte.
O processo começa com o componente em modo de usuário do PoorTry, identificando os diretórios de instalação do software de segurança e os arquivos críticos dentro desses diretórios.
Em seguida, ele envia solicitações ao componente em modo kernel para terminar sistematicamente os processos relacionados à segurança e, então, deletar seus arquivos cruciais.
Os caminhos para esses arquivos são codificados no PoorTry, enquanto o componente em modo de usuário suporta a exclusão por nome de arquivo ou tipo, dando-lhe alguma flexibilidade operacional para cobrir uma gama mais ampla de produtos de EDR.
O malware pode ser ajustado para deletar apenas arquivos cruciais para a operação do EDR, evitando ruídos desnecessários nas fases iniciais e arriscadas do ataque.
A Sophos também observa que as variantes mais recentes de Poortry empregam manipulação de carimbo de data/hora de assinatura para contornar verificações de segurança no Windows e usam os metadados de outros softwares como Internet Download Manager da Tonec Inc.
Os atacantes foram vistos empregando uma tática conhecida como "roleta de certificados", onde eles implantam múltiplas variantes do mesmo payload assinado com certificados diferentes para aumentar suas chances de que pelo menos um execute com sucesso.
Apesar dos esforços para acompanhar a evolução do PoorTry e interromper sua eficácia, os desenvolvedores da ferramenta demonstraram uma notável capacidade de adaptação às novas medidas de defesa.
A funcionalidade de "wiping" de EDR dá à ferramenta uma vantagem sobre os defensores que respondem aos ataques, mas também pode oferecer novas oportunidades para detectar os ataques na fase pré-criptografia.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...