- Les EDR Killers sont devenus prévalant dans les attaques ransomware
- Les affiliés privilégient un chiffrement rapide et fiable, soit des attaques éclaires
- Le choix des EDR Killers relève des affiliés, non des gangs éditeurs
- L’élargissement des réseaux d’affiliés accroît la diversité des outils utilisés
- ESET estime que l’IA contribue au développement de certains EDR Killers
- Si le BYOVD (Bring Your Own Vulnerable Driver) reste prédominant, d’autres approches coexistent
ESET Research publie une analyse approfondie de l’écosystème des EDR killers, mettant en lumière l’exploitation de pilotes vulnérables par les attaquants. Basé sur la télémétrie ESET, le rapport va au-delà de l’approche classique centrée sur les pilotes et analyse l’environnement global. Il montre que la diversité des outils est principalement pilotée par les affiliés plutôt que par les gangs éditeurs, avec une forte réutilisation et circulation des bases de code. Les EDR killers sont désormais au cœur des attaques par ransomware. Les affiliés privilégient des fenêtres d’exécution courtes et fiables pour lancer le chiffrement, les EDR sont des alliés de poids. L’étude, fondée sur l’analyse d’environ 90 outils observés en conditions réelles, suggère également que certains présentent des signes de génération assistée par IA.
Les EDR killers sont devenus un standard dans les attaques ransomware ; après élévation de privilèges, les attaquants désactivent les protections avant de déployer le chiffreur. Si la technique BYOVD ( Bring Your Own Vulnerable Driver ) reste dominante, les attaquants exploitent aussi des outils anti-rootkit légitimes ou des méthodes sans pilote pour neutraliser ou perturber les EDR. Ces techniques, largement éprouvées, offrent des résultats fiables, ce qui explique leur adoption massive par les affiliés.
« L’écosystème est très large, allant de simples preuves de concept à des outils industriels. L’analyse des solutions commercialisées sur le dark web permet de mieux comprendre leur adoption et d’identifier des liens entre acteurs. Les développements internes, eux, éclairent le fonctionnement de groupes fermés », explique Jakub Souček, chercheur chez ESET qui a enquêté sur les EDR Killers.
Pour contourner la détection, les ransomwares disposent de nombreuses techniques d’évasion avancées. Pourtant, celles-ci sont rarement intégrées directement dans les chiffreurs. Les attaquants préfèrent s’appuyer sur des EDR killers pour neutraliser les solutions de sécurité en amont, simplifiant ainsi le déploiement de la charge de chiffrement. Ces outils reposent souvent sur des pilotes légitimes mais vulnérables, compliquant la défense sans impacter les environnements métiers. Ils offrent ainsi un accès au noyau avec un effort de développement limité, ce qui les rend particulièrement efficaces au regard de leur simplicité. ESET souligne que bloquer le chargement de pilotes vulnérables est essentiel, mais insuffisant face aux nombreuses techniques de contournement. La défense doit donc intervenir en amont, avant même l’exécution du pilote malveillant.
Certains EDR killers ne reposent toutefois sur aucune technique avancée : ils exploitent simplement des outils et commandes d’administration natifs. Si le BYOVD reste la méthode dominante, une catégorie croissante d’outils opère sans interaction avec le noyau, en ciblant d’autres fonctions critiques plutôt que les processus EDR eux-mêmes.
L’IA s’impose désormais comme un facteur émergent. Bien qu’il soit difficile de prouver formellement son usage, certains outils récents présentent des caractéristiques typiques de code généré par IA, notamment des structures génériques ou des logiques d’essais successifs. Un exemple notable est un EDR killer utilisé par le groupe Warlock, intégrant un mécanisme de boilerplate, testant plusieurs périphériques vulnérables jusqu’à trouver un vecteur exploitable, ainsi que des fragments de code proches de modèles générés automatiquement.
« Dans le modèle RaaS, les opérateurs fournissent l’infrastructure et les outils, tandis que le choix des EDR killers revient aux affiliés. Plus l’écosystème d’affiliés est large, plus l’outillage se diversifie. Se défendre contre ces attaques nécessite une approche différente : contrairement aux menaces automatisées, les attaques par ransomware sont interactives et adaptatives », conclut Souček.
Pour une analyse détaillée des EDR killers, consultez l’article « EDR Killers Explained: Beyond Drivers » sur WeLiveSecurity.com.
Contact Presse :
Jolya COHOUNDO : presse@eset-nod32.fr
À propos d'ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l'intelligence artificielle et l'expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l'UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d'utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s'adaptant constamment à l'évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.