A Poortry új funkciója
A rosszindulatú Poortry kernel-módú Windows-illesztőprogram, amelyet több ransomware csoport is használ az EDR megoldások kikapcsolására, EDR-törlővé fejlődött, törli a biztonsági megoldások működéséhez elengedhetetlen fájlokat, és megnehezíti a helyreállítást. Bár a Trend Micro már 2023 májusától figyelmeztetett erre a Poortryhoz hozzáadott funkcióra, a Sophos most megerősítette, hogy az EDR-törlő támadások aktívak. A Poortry ezen fejlődése az EDR deaktiválóból EDR törlővé történő átalakulása a ransomware szereplők taktikájának nagyon agresszív váltását jelenti, akik most a zavaróbb telepítési fázist helyezik előtérbe, hogy jobb eredményeket biztosítsanak a titkosítási szakaszban.
A „BurntCigar” néven is ismert PoorTry-t 2021-ben fejlesztették ki kernel-módú vezérlőként az EDR és más biztonsági szoftverek letiltására. A több ransomware csoport, köztük a BlackCat, a Cuba és a LockBit által használt készlet először akkor keltett figyelmet, amikor a fejlesztői megtalálták a módját annak, hogy rosszindulatú illesztőprogramjaikat a Microsoft tanúsító aláírási folyamatán keresztül írassák alá. Más kiberbűnözői csoportok, például a Scattered Spider, szintén látták az eszközt felhasználni a hitelesítő adatok ellopására és SIM-swap támadásokra összpontosító betörések során. 2022 és 2023 folyamán a Poortry tovább fejlődött, optimalizálta a kódját, és olyan obfuszkációs eszközöket használt, mint a VMProtect, a Themida és az ASMGuard.
A Sophos legutóbbi jelentése egy 2024 júliusában végrehajtott RansomHub-támadáson alapul, amely a Poortry-t a kritikus futtatható fájlok (EXE-k), dinamikus linkkönyvtárak (DLL-ek) és a biztonsági szoftverek más alapvető összetevőinek törlésére használta. Ez biztosítja, hogy az EDR-szoftvereket a védők nem tudják helyreállítani vagy újraindítani, így a rendszer teljesen védtelen marad a támadás következő titkosítási fázisában. A folyamat a Poortry felhasználói módú komponensével kezdődik, amely azonosítja a biztonsági szoftver telepítési könyvtárait és az azokban található kritikus fájlokat. Ezután kéréseket küld a kernel-módú komponensnek, hogy szisztematikusan szüntesse meg a biztonsággal kapcsolatos folyamatokat, majd törölje a kulcsfontosságú fájlokat. A fájlok elérési útvonala a Poortry programba hardcode-olva van, míg a felhasználói módú komponens támogatja a törlést fájlnév vagy típus szerint, ami némi működési rugalmasságot biztosít az EDR-termékek szélesebb körének lefedéséhez.
