Récemment, une nouvelle analyse du phénomène connu sous le nom de « EDR Killers » a une fois de plus mis sur la table une technique qui exploite depuis longtemps dans les intrusions ransomware : bon nombre de ces programmes conçus pour neutraliser les solutions de sécurité profitent de conducteurs légitimes mais vulnérables à faire avec les privilèges du noyau. Selon les recherches d'ESET, plus d'une centaine de ces outils utilisent la tactique connue sous le nom de BYOVD - apportez votre propre conducteur vulnérable -, en utilisant des dizaines de contrôleurs avec des défaillances connues pour sauter les protections du système.
Dans le domaine de la cybersécurité, il est devenu une pratique récurrente : avant de lancer le cryptage qui laissera les fichiers inaccessibles, les acteurs malveillants lancent une étape précédente dédiée exclusivement à désactiver ou évacuer les défenses des terminaux. Cet « outil de choc » agit en dehors de l'ansomware principal et facilite le maintien du chiffre simple et stable, sans qu'il soit nécessaire d'intégrer des capacités d'évasion sophistiquées dans son propre code. Le résultat est une chaîne d'attaque plus modulaire et réutilisable, qui est très attrayant pour les modèles commerciaux criminels comme le Ransomware- comme- un- service.
L'essence de BYOVD est relativement simple et dangereuse: au lieu de charger un conducteur malveillant non signé - qui est bloqué dans les systèmes modernes - l'attaquant installe ou réutilise un conducteur légitime, signé par un fournisseur, qui contient une vulnérabilité exploitable. Avec cet échec, il est possible d'exécuter le code en mode noyau (Ring 0), la couche la plus privilégiée du système, à partir de laquelle les processus de sécurité peuvent être complétés, annulant les callbacks du noyau et manipulant des mécanismes qui devraient protéger l'équipe. Bitdefender explique bien ce modèle dans son explication sur BYOVD, où il détaille comment le modèle de pilote de confiance signé par Microsoft est abusé de l'échelle de privilèges: technologie derrière le BYOVD.
Le rapport ESET documente près de 90 outils pour tuer les EDR, et note qu'une grande partie d'entre eux dépendent de ces contrôleurs vulnérables. Dans certains cas, les outils sont spécifiques aux groupes « fermés » de ransomware qui ne dépendent pas des filiales; dans d'autres, ce sont des fourchettes ou des modifications de tests de concepts publics qui finissent par être utilisés sur le terrain. Il existe également un marché souterrain où ces types de services sont achetés et vendus comme services, ce qui réduit la barrière d'entrée pour les attaquants ayant moins de compétences techniques.
Toutes les familles qui tuent EDR n'utilisent pas des chauffeurs signés. ESET a détecté des variantes qui utilisent des scripts et des commandes administratives natives à Windows - par exemple, taskkill ou net stop - pour forcer l'arrestation de services de sécurité, ainsi que des utilitaires de support et d'analyse légitimes qui permettent d'achever des processus protégés. Les projets "Aucun pilote" ont même commencé à apparaître que, au lieu d'exploiter un contrôleur vulnérable, bloquer la communication ou mettre des solutions de sécurité dans un état de "coma" par d'autres techniques. Dans tous les cas, l'objectif est le même: laisser la machine aussi non protégée que possible juste avant que le chiffre ne soit exécuté.
Du point de vue de la défense, la recommandation habituelle est évidente mais complexe à appliquer: il est nécessaire d'empêcher les contrôleurs connus de faire des abus dans les environnements d'entreprise. Microsoft maintient des politiques et de la documentation sur la modélisation de la signature des conducteurs et les restrictions sur les systèmes Windows, ce qui aide à comprendre pourquoi le fardeau des conducteurs légitimes mais vulnérables est une proposition si puissante pour les attaquants - et donc si problématique pour les administrateurs: politique de signature de code en mode noyau.
Cependant, bloquer les pilotes dans une organisation n'est pas un remède magique : les tueurs EDR apparaissent à la fin de la chaîne d'attaque, au moment où l'attaquant est sur le point de chiffrer les données. Si une défense particulière échoue, l'agresseur peut tester avec un autre outil ou méthode alternative. C'est pourquoi les experts insistent sur le fait que la protection effective exige en profondeur: contrôle de la charge du conducteur, surveillance continue, détection de comportements anormaux, segmentation du réseau et plans de réponse pour contenir des activités malveillantes dans les premiers stades.
La recherche ESET montre également une tendance inquiétante: les auteurs de ces outils ont privilégié la sophistication des parties qui interagissent avec le système utilisateur (mode utilisateur) pour échapper à l'analyse et à la détection, laissant ainsi le chiffrement final plus simple. En d'autres termes, l'effort n'est plus tant de faire passer l'ansomware inaperçu par lui-même, mais de « laisser le système sans défenses » pour que le chiffre fasse son travail avec moins d'obstacles. Cette séparation des fonctions augmente l'efficacité opérationnelle des bandes et facilite la réutilisation des composants malveillants.
Pour les équipes de sécurité et l'informatique responsable, repenser la façon dont les protections sont mesurées et hiérarchisées : il ne suffit pas de faire confiance à une solution EDR robuste si elle peut être mise hors jeu par une explosion relativement simple. Il est essentiel d'avoir des listes de pilotes en noir et blanc, d'appliquer des correctifs et des mises à jour, de surveiller l'installation des pilotes et de conserver des mécanismes de détection qui ne dépendent pas exclusivement des processus individuels. Des ressources supplémentaires sur la tactique BYOVD et sur la façon de l'atténuer sont disponibles dans les analyses techniques et les signatures de l'industrie, ce qui aide à comprendre le comportement et à identifier les indicateurs d'engagement: analyse détaillée de l'ESET et des explications techniques sur BYOVD comme celle de Picus Voilà..
Bref, les tueurs EDR restent un outil attrayant pour les groupes Ransomware parce qu'ils sont bon marché, fiables et peuvent être utilisés indépendamment du chiffrement. La réponse, pour sa part, est de combiner la prévention technique, la visibilité constante et une stratégie de réponse qui couvre tout le cycle de l'attaque. Ce n'est qu'ainsi que l'espace de manœuvre de ceux qui cherchent à éteindre nos défenses pourra être réduit juste avant de demander un sauvetage de données.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...