Windows : le malware PoorTry devient un véritable EDR wiper lors des attaques de ransomwares !
Le pilote malveillant PoorTry pour Windows, utilisé par différents gangs de ransomware pour désactiver les solutions EDR, a évolué afin de devenir un véritable "EDR wiper" : il supprime des fichiers essentiels au bon fonctionnement de ces solutions de sécurité. Faisons le point.
Les solutions de sécurité de type EDR (Endpoind Detection and Response) sont de plus en plus répandues dans les entreprises. Elles sont là pour aider les équipes IT à détecter et bloquer les menaces sur les postes de travail et les serveurs, notamment dans le but de déjouer les actions malveillantes des cybercriminels.
Afin de contrer les EDR, plusieurs gangs de ransomwares dont BlackCat, Cuba, Medusa et LockBit, s'appuient sur PoorTry, un pilote malveillant pour Windows qui s'exécute en mode noyau. Grâce à ce niveau de privilèges, PoorTry parvient à désactiver la solution EDR présente sur la machine (et les autres outils de sécurité), afin que le ransomware puisse passer à l'action sans être perturbé.
PoorTry devient un véritable wiper pour EDR
D'après un nouveau rapport publié par Sophos relatif à une attaque menée par RansomHub en juillet 2024, la nouvelle version de PoorTry ne se limite pas à la désactivation de l'EDR. PoorTry fait en sorte de saboter la machine pour que l'EDR soit inutilisable. Ainsi, des exécutables, des bibliothèques DLL et d'autres fichiers critiques sont supprimés du système Windows. Nous pourrions parler d'un wiper pour EDR.
"Poortry peut désormais supprimer complètement des composants EDR critiques, au lieu de simplement mettre fin à leurs processus. Trend Micro a signalé en 2023 que Poortry avait développé la capacité de supprimer des fichiers du disque, mais c'est la première fois que nous avons observé cette fonctionnalité utilisée dans une attaque.", peut-on lire dans le rapport de Sophos.
Grâce à cette action, l'EDR ne peut pas simplement être relancé, ce qui complique la tâche à l'équipe IT de l'organisation. Le système se retrouve alors sans protection et dans une situation délicate où la récupération de l'EDR ne semble pas évidente... Pendant ce temps, le ransomware peut chiffrer les données. De quoi compliquer le travail des équipes de réponses à incident.
Enfin, Sophos note aussi que les cybercriminels utilisent différents certificats à tour de rôle pour signer PoorTry. Par exemple, dans le cas présent, la signature de PoorTry correspond à celle de l'application Internet Download Manager de chez Tonec Inc.
