Les chercheurs en sécurité ont identifié un schéma inquiétant dans les dernières campagnes de ransomware: des acteurs tels que ceux liés à Qilin et Warlock utilisent la technique dite apportez votre propre conducteur vulnérable (BYOVD) pour faire taire les défenses des équipes engagées. L'analyse de Cisco Talos et Trend Micro montre que, loin des attaques brutales, ces groupes combinent ingénierie de la comptabilité, contrôle de la mémoire et l'utilisation de contrôleurs légitimes mais vulnérables pour atteindre les privilèges du noyau et désactiver les solutions de protection.
Dans le cas attribué à Qilin, Talos a détecté la présence d'une DLL malveillante chargée via DLL side-loading sous le nom de "msimg32.dll". Que DLL agit comme un premier chargeur qui prépare l'environnement pour un deuxième composant - un « tueur EDR » - qui vient crypté sur le chargeur lui-même. L'exécution finale se fait en pleine mémoire éviter ainsi de laisser de nombreux artefacts classiques qui facilitent la détection. Le chargeur neutralise également les crochets dans l'espace utilisateur, supprime le tracing d'événements pour Windows (ETW) et masque les appels aux API afin que le processus de décryptage et de chargement passe presque inaperçu.
Une fois la charge utile de destruction EDR prête, les attaquants chargent deux pilotes : l'un appelé rwdrv.sys (une version de ThrottleStop.sys) qui sert à accéder à la mémoire physique et à fonctionner au niveau du noyau, et l'autre appelé hlpdrv.sys qui a pour but de terminer les processus et désactiver plus de 300 contrôleurs EDR de nombreux fournisseurs. Cette combinaison de techniques vous permet de désactiver la plupart de la protection de l'hôte avant d'exécuter l'ansomware. Talos a documenté comment, même avant de charger le deuxième pilote, le composant destiné à tuer les EDR annule les rappels de surveillance pour éviter toute interférence pendant les terminaisons de processus.
La même philosophie d'utilisation des contrôleurs de failles a été vue dans les opérations associées à Warlock (également connu sous le nom de Water Manaul), qui exploite également des serveurs Microsoft SharePoint non équipés et a mis à jour son kit d'outils pour la persistance, le mouvement latéral et l'évasion. Pour maintenir un accès persistant et établir des canaux de contrôle et de contrôle, les opérateurs ont utilisé des services publics et des solutions légitimes: TightVNC pour la télécommande persistante, PsExec pour se déplacer latéralement, Velociraptor comme outil C2, Visual Studio Code et Cloudflare Tunnel pour le réglage des communications, Yuze pour l'intranet et la pénétration inverse de proxy, et Rone pour les données exfiltering. Sur le front conducteur, Warlock est devenu un pilote NSec vulnérable ("NSecKrnl.sys") dans ses dernières campagnes, remplaçant d'autres pilotes précédemment utilisés.
Cette approche n'est pas nouvelle en théorie, mais son efficacité réside dans la combinaison de facteurs réels : des pilotes signés contenant des vulnérabilités exploitables, la capacité de l'agresseur de charger et de renommer des binaires légitimes, et l'insuffisance des contrôles dans la gouvernance des pilotes au niveau organisationnel. BYOVD exploite la ligne fine entre la fonctionnalité du système légitime et la capacité des attaquants à fonctionner avec les privilèges du noyau ce qui rend la détection et l'atténuation très difficiles en l'absence de contrôles spécifiques.
Les mesures fournies par des entreprises comme CYFIRMA et Cynet montrent que Qilin a été particulièrement actif, une proportion importante des incidents signalés dans certains territoires étant enregistrée. Talos note également que, en moyenne, le chiffrement Ransomware se produit environ six jours après la fracture initiale, une fenêtre que les attaquants utilisent pour se déplacer calmement, augmenter les privilèges et préparer la phase destructrice. Cette marge souligne l'importance de détecter l'activité anormale aux premiers stades de l'engagement et d'avoir des contrôles qui empêchent le chargement de conducteurs potentiellement dangereux.
Que peut faire une organisation pour réduire ce risque? Premièrement, imposer des politiques de conduite strictes: ne permettre que les pilotes signés par des éditeurs explicitement fiables et vérifier toute installation de pilote. Dans les environnements Windows, il convient d'examiner et de mettre en œuvre les recommandations sur les politiques de signature et de noyau publiées par Microsoft, ainsi que de surveiller les événements liés à l'installation et au chargement des pilotes pour identifier les tentatives suspectes. Une autre ligne de défense est de renforcer la gestion des patchs : le système d'exploitation et les solutions de sécurité avec des composants au niveau du noyau doivent être tenus à jour pour empêcher un pilote légitime avec des vulnérabilités de devenir un outil d'attaque.
Au-delà de l'hygiène du logiciel, il est essentiel d'augmenter la visibilité sur le noyau et les activités en mémoire. Les outils de surveillance qui enregistrent les changements dans l'intégrité du noyau, l'apparition de pilotes non autorisés et l'utilisation anormale d'API liées à la trace ou à la télémétrie peuvent détecter des signes de BYOVD avant que l'attaquant ne puisse neutraliser les défenses. La surface d'attaque devrait également être réduite par des contrôles d'accès stricts sur les comptes avec privilèges et mécanismes de détection précoce des mouvements latéraux et de l'exfiltration.
Les équipes d'intervention et les administrateurs devraient considérer que bon nombre des outils mentionnés par les attaquants sont des logiciels légitimes utilisés à des fins malveillantes. Par conséquent, la simple présence de utilitaires tels que PsExec, TightVNC ou Rclone seul ne signifie pas une mauvaise pratique, mais son utilisation inattendue dans un environnement productif doit déclencher des alertes et des analyses. La combinaison de la surveillance continue, de la gouvernance des conducteurs et d'une procédure d'intervention qui inclut la possibilité d'isoler rapidement les hôtes est la recette pratique pour minimiser l'impact.
Les travaux de recherche et les recommandations du public des fabricants et des institutions spécialisées peuvent faire l'objet d'un examen plus approfondi sur les aspects techniques et les guides d'atténuation. Cisco Talos et Trend Micro ont publié des analyses sur ces campagnes; en outre, Microsoft tient à jour la documentation technique sur le repérage des événements pour Windows et les politiques de signature des pilotes qui sont utiles pour concevoir des contrôles appropriés. Des ressources supplémentaires telles que les pages officielles de projets et d'outils (Velociraptor, Rclone, TightVNC) aident à comprendre comment les agresseurs profitent de profits légitimes dans leurs chaînes d'attaque.
La leçon clé Il est clair que les attaquants n'ont pas toujours besoin de développer des exploits complexes à partir de zéro lorsqu'ils peuvent apporter avec eux un conducteur vulnérable qui fonctionne comme un levier. Protéger le noyau et le contrôle que les logiciels de bas niveau peuvent être mis en œuvre dans l'infrastructure devrait être une priorité dans toute stratégie de défense moderne contre les ransomwares. La combinaison de la gouvernance du conducteur, de la détection de la mémoire et de la réponse rapide à une activité anormale est ce qui, en pratique, peut fermer la fenêtre que des groupes comme Qilin et Warlock exploitent.
Sources utiles pour développer et mettre en œuvre ces recommandations : le blog technique de Cisco Talos ( blog.talosintelligence.com), le Centre de recherche Trend Micro ( trendmicro.com / recherche), documentation de Microsoft sur la recherche d'événements pour Windows ( learn.microsoft.com - ETW) et sur la politique de signature des contrôleurs ( apprendre). La page Velociraptor ( velodex.com / velocraptor), le projet Rclone ( rclone.org) et le téléchargement officiel de PSExec dans Sysinternals ( learn.microsoft.com - PsExec).
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...