Romolo Tavani - stock.adobe.com
Ransomware : désactiver l'EDR est devenu la norme
La suppression des EDR n'est plus une tactique accessoire mais une étape critique, permettant aux gangs de neutraliser les défenses avec des outils légitimes et commerciaux avant le chiffrement.
L'analyse des campagnes récentes révèle une évolution majeure dans les tactiques des gangs de ransomware, passant d'une simple exécution de code malveillant à une destruction méthodique de l'infrastructure de sécurité.
Le groupe Play illustre cette nouvelle ère avec une précision chirurgicale. Contrairement aux méthodes traditionnelles qui visaient l'arrêt direct des processus, les affidés de Play ont développé une technique novatrice pour rendre les agents de sécurité (EDR/EPP) inopérants sans interruption visible.
Ainsi, indique Halcyon, « le groupe de ransomware Play utilise une technique novatrice pour contourner les plates-formes de protection de point de terminaison (EPP) et les solutions de détection et de réponse sur les points de terminaison (EDR) en les supprimant entièrement du disque actif grâce à un utilitaire de gestion de partition/directeur de disque légitime, ce qui élimine les défenses de point de terminaison sans désactiver ou terminer directement les processus de sécurité ».
Cette phase de préparation s'accompagne d'une attaque contre l'infrastructure réseau. Play a démontré la capacité de compromettre totalement les pare-feu SonicWall, permettant d'isoler l'environnement de la victime. Les attaquants coordonnent la coupure de l'accès Internet via le fournisseur de services pour ne laisser transiter que le trafic malveillant, rendant impossible l'intervention des équipes de sécurité à distance ou l'appel aux fournisseurs de services cloud.
Cette manipulation de l'infrastructure de communication s'ajoute à la destruction des capacités de récupération, incluant la réinitialisation d'usine des serveurs de stockage (NAS) et le chiffrement délibéré des solutions de sauvegarde locales comme Veeam. Ces actions obligent les victimes à reconstruire leurs infrastructures virtualisées et leurs sauvegardes à partir de zéro, prolongeant considérablement les délais de rétablissement.
L'industrialisation de l'évasion
Le paysage des outils de contournement, ou "tueurs EDR", s'est considérablement élargi au-delà de l'exploitation de pilotes vulnérables (BYOVD), qui domine les discussions mais ne représente plus la totalité du spectre des menaces. Les recherches d'ESET sur près de 90 outils actifs démontrent que l'évasion est désormais un service standardisé et indépendant.
Les affidés, indépendants des opérateurs de ransomware, choisissent leurs outils en fonction de la fiabilité et de la compatibilité avec l'environnement cible. Cette séparation des rôles dans le modèle Ransomware-as-a-Service (RaaS) conduit à une fragmentation des signatures, rendant l'attribution basée uniquement sur le code source ou le pilote inexploitable pour identifier les opérateurs.
Cette diversité repose sur une gamme variée de méthodes. Outre l'exploitation de pilotes signés, les attaquants utilisent des scripts d'administration, des anti-rootkits légitimes (tels que GMER ou PC Hunter) détournés pour désactiver les services de sécurité, et des approches "sans pilote" (driverless) qui bloquent la communication entre l'agent et son backend.
Les outils "driverless" comme EDRSilencer ou EDR-Freeze illustrent une capacité d'adaptation croissante, car leur approche non conventionnelle rend la détection et l'atténuation plus complexes. La réutilisation de démonstrateurs publics via des dépôts comme GitHub, ainsi que la modification de code existant (forking), permettent aux acteurs de tous niveaux de compétence de déployer ces techniques rapidement.
Cette industrialisation a abaissé le seuil d'entrée pour les attaquants et augmenté la fréquence des attaques, créant un écosystème où la fiabilité de l'outil prime sur son originalité.
Commoditisation des vecteurs d'attaque
L'écosystème des tueurs EDR s'est transformé en un marché criminel actif, caractérisé par la commercialisation de logiciels "prêts à l'emploi" et l'offre de services de support. Des outils comme DemoKiller, AbyssKiller et CardSpaceKiller sont proposés sur le dark web avec des fonctionnalités avancées, incluant l'obfuscation, le déploiement de pilotes chiffrés et des mécanismes de protection contre l'analyse.
Certains vendeurs proposent même des services de "packaging", facilitant l'utilisation par des affidés moins techniques. Parallèlement, l'intelligence artificielle commence à jouer un rôle dans la génération de code, augmentant la variété et la complexité des outils. Par exemple, le gang Warlock a déployé des variantes d'outils montrant des traits de génération par IA, notamment des mécanismes de "essai et erreur" pour identifier les pilotes vulnérables.
Cette sophistication s'étend également à la veille des attaquants. Des indices suggèrent que des groupes de ransomwares, tels que Conti, ont cherché à acquérir activement des licences légales de solutions EDR (comme Carbon Black) pour étudier leurs mécanismes internes et contourner leurs détections. Cette approche illustre une stratégie où l'attaquant achète le produit qu'il souhaite détruire pour mieux comprendre comment le neutraliser.
Stratégies d'atténuation : résilience opérationnelle et défense en profondeur
La défense contre ces menaces nécessite une approche proactive qui ne se limite pas au blocage de pilotes spécifiques. L'observation des attaques mettant en œuvre des réinitialisations de pare-feu et des destructions de sauvegardes locales souligne l'importance d'une stratégie de résilience intégrée.
Les organisations doivent renforcer leurs contrôles d'accès initial et limiter les déplacements latéraux pour réduire les surfaces d'attaque. De plus, la protection des solutions de sauvegarde contre le chiffrement et la mise en place de processus de récupération testés régulièrement sont essentielles. La détection doit s'étendre à l'analyse du comportement des utilitaires légitimes utilisés à des fins malveillantes, plutôt que de se concentrer uniquement sur les signatures connues.
Une défense efficace repose sur plusieurs axes prioritaires. Premièrement, durcir les vecteurs d'accès initial pour prévenir l'entrée des attaquants. Deuxièmement, surveiller et restreindre les services distants et l'abus de comptes valides pour limiter le mouvement latéral. Troisièmement, déployer des solutions qui détectent les comportements malveillants et protègent l'intégrité des sauvegardes.
Comme le conclut Eset, « bien que l'empêchement du chargement de pilotes vulnérables soit une étape cruciale de la ligne de défense, cela ne devrait pas être le seul [...] nous devrions viser à perturber les tueurs EDR avant même qu'ils n'aient l'occasion de charger le pilote ». De quoi de contrer l'industrialisation de ces tactiques et de réduire l'impact opérationnel des attaques.
Pour approfondir sur Menaces, Ransomwares, DDoS
-
![]()
Comment Systra entraîne son SOC en automatisant les tests d’intrusion
Par: Alain Clapaud
-
![]()
Cybersécurité : comment l’EDR peut être contourné
Par: Valéry Rieß-Marchive
-
![]()
Ransomware : un premier semestre 2025 d’une intensité inhabituelle
Par: Valéry Rieß-Marchive
-
![]()
EDR vs. SIEM : différences clés, avantages et cas d’utilisation
Par: Ravi Das
