PoorTry/BurntCigar

El panorama de las amenazas cibernéticas ha sido testigo de la evolución de PoorTry, un controlador de Windows en modo kernel que ha adoptado un giro más destructivo. PoorTry, diseñado inicialmente para desactivar las soluciones de detección y respuesta de endpoints (EDR), se ha convertido ahora en un limpiador de EDR. Esta evolución permite a las bandas de ransomware eliminar archivos cruciales para las operaciones de software de seguridad, lo que deja los sistemas indefensos y dificulta mucho más la recuperación.

La evolución de PoorTry: de la desactivación a la destrucción

PoorTry, también conocido por su alias "BurntCigar", ha sido una herramienta importante en el arsenal de los grupos de ransomware desde su creación en 2021. Inicialmente, se desarrolló para desactivar EDR y otras medidas de seguridad. Con el tiempo, ha sido utilizado por bandas de ransomware notorias, incluidas BlackCat , Cuba y LockBit . Su desarrollo alcanzó un hito notable cuando sus creadores explotaron el proceso de firma de atestación de Microsoft, lo que permitió que los controladores maliciosos se firmaran y se usaran con mayor eficacia.

A lo largo de 2022 y 2023, PoorTry siguió evolucionando y mejoró su capacidad para evadir la detección. Al incorporar herramientas de ofuscación comoVMProtect , Themida y ASMGuard, se volvió más hábil para ocultar sus intenciones maliciosas. Sin embargo, el desarrollo más preocupante ocurrió en julio de 2024, cuando PoorTry pasó de simplemente deshabilitar los sistemas EDR a eliminarlos por completo.

Cómo funciona PoorTry

La última versión de PoorTry comienza con su componente de modo usuario, que identifica meticulosamente los directorios de instalación del software de seguridad y señala los archivos críticos. Esta información se transmite luego al componente de modo kernel, que ejecuta el ataque terminando sistemáticamente los procesos de seguridad y eliminando los archivos esenciales.

La capacidad de PoorTry de identificar archivos por nombre o tipo agrega una capa de flexibilidad operativa, lo que le permite cubrir un amplio espectro de productos EDR. Esta precisión garantiza que solo se eliminen los archivos más críticos, lo que minimiza las posibilidades de detección temprana y maximiza el impacto del ataque durante la fase de cifrado.

Las implicaciones de la evolución de PoorTry

El cambio de la desactivación de EDR a la eliminación de datos representa una escalada significativa en las tácticas empleadas por los actores del ransomware. Al eliminar la capacidad de recuperar o reiniciar los sistemas EDR, los atacantes pueden continuar con el cifrado sin que nadie los desafíe, lo que deja los sistemas vulnerables e indefensos.

A pesar de los esfuerzos de empresas de ciberseguridad como Trend Micro y Sophos, que han seguido la evolución de PoorTry y han advertido sobre sus crecientes capacidades, los desarrolladores de esta herramienta se han adaptado constantemente a las nuevas medidas defensivas. Esta adaptabilidad subraya el desafío constante que enfrentan los profesionales de la seguridad para mantenerse a la vanguardia de estas amenazas avanzadas.

Cómo eliminar PoorTry y proteger su sistema

Dada la naturaleza agresiva de PoorTry, es esencial tomar medidas inmediatas si sospecha que su sistema ha sido comprometido. Aquí tiene una guía paso a paso para eliminar PoorTry y proteger su sistema:

  1. Ejecute un análisis completo del sistema con un programa antimalware : comience utilizando un programa antimalware confiable para realizar un análisis completo de su sistema. Asegúrese de que la aplicación esté actualizada con las últimas definiciones de amenazas para detectar PoorTry de manera efectiva.
  2. Aislar el sistema infectado : si se detecta PoorTry, aísle el sistema infectado de su red para evitar una mayor propagación del malware.
  3. Eliminar el malware : sigue las instrucciones del programa antimalware para eliminar PoorTry de tu sistema. Esto puede implicar poner en cuarentena o eliminar los archivos infectados. Asegúrate de eliminar todos los rastros del malware.
  4. Restaure su software de seguridad : después de eliminar PoorTry, es posible que deba reinstalar o restaurar su EDR y otras soluciones de seguridad para garantizar que su sistema esté protegido. Verifique nuevamente que todos los componentes críticos de su software de seguridad estén intactos y funcionando.
  5. Actualice y fortalezca su sistema : mantenga actualizados su sistema operativo, sus aplicaciones y su software de seguridad. Aplique medidas de seguridad adicionales, como la segmentación de la red y la autenticación multifactor, para disminuir el riesgo de futuros ataques.
  6. Controle la aparición de nuevas amenazas : continúe controlando su sistema para detectar cualquier signo de reinfección u otra actividad sospechosa. Manténgase alerta y sea proactivo al aplicar parches y actualizaciones de seguridad.

La evolución de PoorTry hacia un limpiador de EDR marca un nuevo nivel de agresividad en las tácticas de las bandas de ransomware. Si comprende cómo funciona este malware y toma medidas rápidas para eliminarlo, puede proteger su sistema de daños mayores. Utilice un programa antimalware confiable para detectar y eliminar PoorTry y asegúrese de que sus defensas de seguridad sean lo suficientemente sólidas para resistir amenazas futuras. Manténgase un paso adelante en la batalla en constante cambio contra el cibercrimen.

Video PoorTry/BurntCigar

Consejo: encienda el sonido y mire el video en modo de pantalla completa .

Tendencias

Mas Visto

Cargando...