basiczto - stock.adobe.com

Actualites

L’évasion EDR : une tactique standardisée dans le RaaS

La désactivation des EDR est passée de tactique de contournement plus ou moins fréquente au pré-requis critique. Analyse des outils sophistiqués et des tendances systémiques dans la cybercriminalité.

Valéry Rieß-Marchive
par
Publié le: 22 juin 2026

L'écosystème du rançongiciel en mode service (RaaS) a atteint un niveau de maturité opérationnelle élevé, faisant de la neutralisation des solutions de détection et de réponse aux menaces (EDR) une étape planifiée. Les chercheurs d'Eset viennent de documenter le framework GentleKiller, développé par le groupe TheGentlemen. Ce groupe de RaaS fournit à ses affiliés une suite d'outils EDR-killers mature et maintenue par les opérateurs.

TheGentlemen applique une stratégie d'évasion unifiée à travers ses outils, qui imitent des fournisseurs de sécurité en utilisant des informations de version factices et des icônes copiées. Selon Jakub Souček, chercheur chez ESET, les opérateurs de Gentlemen développent et maintiennent activement un portefeuille de tueurs EDR qu'ils offrent aux affiliés. Cette approche distingue TheGentlemen, car le groupe fournit des outils d'évasion sophistiqués en plus des outils de chiffrement.

L'abus des pilotes signés pour un accès au noyau

Cette tendance n'est pas nouvelle. L'analyse des campagnes de Qilin illustre la profondeur de cette évolution. Les affiliés de Qilin utilisent un module dédié capable de désactiver plus de 300 solutions EDR. Cette action est une étape planifiée visant à rendre l'infrastructure de défense totalement aveugle avant le chiffrement ou le vol de données.

Le mécanisme central repose sur l'abus de pilotes signés légitimes, une technique connue sous le nom de Bring Your Own Vulnerable Driver (BYOVD). Dans le cas de Qilin, l'attaquant utilise une version usurpée du pilote `rwdrv.sys`. Cisco Talos explique que ce pilote, bien que bénin à l'origine, expose des fonctionnalités puissantes et peut être chargé par des applications arbitraires en mode utilisateur.

Grâce à cet accès direct, le module destructeur interagit avec les pilotes EDR installés pour supprimer leurs appels de rappel (callbacks). En itérant à travers une liste de plus de 300 pilotes de sécurité, le module localise les pointeurs de ces callbacks dans la mémoire physique et les remplace par des pointeurs vides. Cela rend les solutions de sécurité incapables de détecter les créations de processus ou les modifications de thread.

L'évasion EDR : un service standardisé et accéléré par l'IA

L'élimination de l'EDR est devenue une norme industrielle dans le paysage de la cybercriminalité. L'écosystème des tueurs EDR s'est transformé en un marché criminel actif, où l'évasion est un service standardisé et indépendant.

Les méthodes d'évasion sont diverses. Si l'exploitation de pilotes signés domine, les attaquants utilisent également des scripts d'administration ou des approches driverless qui bloquent la communication entre l'agent et son backend. Le groupe Play, par exemple, utilise un utilitaire de gestion de disque légitime pour supprimer entièrement les agents de sécurité du disque actif, éliminant ainsi les défenses sans provoquer d'alerte par la terminaison de processus.

L'industrialisation de ces tactiques a abaissé le seuil d'entrée pour les attaquants. Parallèlement, l'intelligence artificielle accélère ce cycle de développement. Les analystes de Sophos X-Ops ont observé des acteurs malveillants utilisant des outils d'IA, tels que Cursor et Claude Opus 4.5, dans des environnements de test post-exploitation. L'IA est utilisée pour lire des articles de recherche, extraire des techniques et les mapper aux techniques MITRE ATT&CK, permettant un développement itératif et rapide d'outils d'évasion.

Le changement de paradigme : de la signature au comportement

L'évolution des outils d'évasion constitue un changement de paradigme pour la défense. Les attaquants ne se contentent pas de cibler une signature spécifique ; ils visent l'intégrité même du système de surveillance.

L'intégration de l'IA permet de générer des charges utiles modulaires, souvent écrites en Rust ou Go, qui sont enveloppées dans des couches de chiffrement et d'évasion pour résister au sandboxing et à la détection. Le processus d'expérimentation, autrefois long et manuel, est désormais coordonné par des agents d'IA, augmentant la variété et l'efficacité des techniques de contournement.

Cette sophistication confirme que la neutralisation des défenses n'est plus une tactique accessoire, mais un prérequis critique pour l'exécution réussie des campagnes de rançongiciel. Empêcher le chargement de pilotes vulnérables est donc une étape cruciale, car il est nécessaire de perturber les tueurs d'EDR avant même qu'ils n'aient l'occasion d'y procéder.

Pour approfondir sur Menaces, Ransomwares, DDoS