PoorTry/BurntCigar

Le paysage des cybermenaces a été témoin de l’évolution de PoorTry, un pilote Windows en mode noyau qui a pris une tournure plus destructrice. Conçu initialement pour désactiver les solutions de détection et de réponse aux points de terminaison (EDR), PoorTry est désormais devenu un nettoyeur EDR. Cette évolution permet aux gangs de ransomware de supprimer des fichiers essentiels aux opérations des logiciels de sécurité, rendant les systèmes sans défense et rendant la récupération beaucoup plus difficile.

L’évolution de PoorTry : de la désactivation à la destruction

PoorTry, également connu sous son pseudonyme « BurntCigar », est un outil important dans l'arsenal des groupes de ransomware depuis sa création en 2021. Au départ, il a été développé pour désactiver l'EDR et d'autres mesures de sécurité. Au fil du temps, il a été utilisé par des gangs de ransomware notoires, notamment BlackCat , Cuba et LockBit . Son développement a atteint une étape notable lorsque ses créateurs ont exploité le processus de signature d'attestation de Microsoft, permettant aux pilotes malveillants d'être signés et utilisés avec une plus grande efficacité.

Tout au long des années 2022 et 2023, PoorTry a continué d'évoluer, améliorant sa capacité à échapper à la détection. En intégrant des outils d'obfuscation commeVMProtect , Themida et ASMGuard, il est devenu plus apte à dissimuler ses intentions malveillantes. Cependant, le développement le plus inquiétant s'est produit en juillet 2024, lorsque PoorTry est passé de la simple désactivation des systèmes EDR à leur élimination complète.

Comment fonctionne PoorTry

La dernière itération de PoorTry commence par son composant en mode utilisateur, qui identifie méticuleusement les répertoires d'installation des logiciels de sécurité et identifie les fichiers critiques. Ces informations sont ensuite relayées au composant en mode noyau, qui exécute l'attaque en mettant systématiquement fin aux processus de sécurité et en supprimant les fichiers essentiels.

La capacité de PoorTry à cibler les fichiers par nom ou par type ajoute une couche de flexibilité opérationnelle, lui permettant de couvrir un large spectre de produits EDR. Cette précision garantit que seuls les fichiers les plus critiques sont supprimés, minimisant ainsi les chances de détection précoce tout en maximisant l'impact de l'attaque pendant la phase de chiffrement.

Les implications de l’évolution de PoorTry

Le passage de la désactivation de l'EDR à l'effacement représente une escalade significative dans les tactiques employées par les acteurs du ransomware. En supprimant la possibilité de récupérer ou de redémarrer les systèmes EDR, les attaquants peuvent procéder au chiffrement sans être contestés, laissant les systèmes vulnérables et sans défense.

Malgré les efforts des entreprises de cybersécurité comme Trend Micro et Sophos, qui ont suivi l'évolution de PoorTry et mis en garde contre ses capacités croissantes, les développeurs de cet outil se sont constamment adaptés aux nouvelles mesures défensives. Cette adaptabilité souligne le défi permanent auquel sont confrontés les professionnels de la sécurité pour garder une longueur d'avance sur ces menaces avancées.

Comment supprimer les fichiers PoorTry et protéger votre système

Étant donné la nature agressive de PoorTry, il est essentiel de prendre des mesures immédiates si vous pensez que votre système a été compromis. Voici un guide étape par étape pour supprimer PoorTry et protéger votre système :

  1. Exécutez une analyse complète du système avec un programme anti-malware : Commencez par utiliser un programme anti-malware réputé pour effectuer une analyse complète de votre système. Assurez-vous que l'application est à jour avec les dernières définitions de menaces pour détecter efficacement PoorTry.
  2. Isolez le système infecté : si PoorTry est détecté, isolez le système infecté de votre réseau pour empêcher toute propagation supplémentaire du malware.
  3. Supprimer le logiciel malveillant : suivez les instructions du programme anti-malware pour supprimer PoorTry de votre système. Cela peut impliquer la mise en quarantaine ou la suppression des fichiers infectés. Assurez-vous que toutes les traces du logiciel malveillant sont éliminées.
  4. Restaurez votre logiciel de sécurité : après avoir supprimé PoorTry, vous devrez peut-être réinstaller ou restaurer votre EDR et d'autres solutions de sécurité pour garantir la protection de votre système. Vérifiez que tous les composants critiques de votre logiciel de sécurité sont intacts et fonctionnent.
  5. Mettez à jour et renforcez votre système : maintenez votre système d'exploitation, vos applications et vos logiciels de sécurité à jour. Appliquez des mesures de sécurité supplémentaires, telles que la segmentation du réseau et l'authentification multifacteur, pour réduire le risque d'attaques futures.
  6. Surveillez les menaces futures : continuez à surveiller votre système pour détecter tout signe de réinfection ou autre activité suspecte. Restez vigilant et appliquez de manière proactive les correctifs et mises à jour de sécurité.

L'évolution de PoorTry en un outil de suppression EDR marque un nouveau niveau d'agressivité dans les tactiques des gangs de ransomware. En comprenant le fonctionnement de ce malware et en prenant des mesures rapides pour le supprimer, vous pouvez protéger votre système contre d'autres dommages. Utilisez un programme anti-malware fiable pour détecter et éliminer PoorTry et assurez-vous que vos défenses de sécurité sont suffisamment robustes pour résister aux menaces futures. Gardez une longueur d'avance dans la lutte en constante évolution contre la cybercriminalité.

PoorTry/BurntCigar Vidéo

Astuce: Activez votre son et regarder la vidéo en mode plein écran.

Tendance

Le plus regardé

Chargement...