Une nouvelle évolution inquiétante dans les tactiques de ransomware vient d’apparaître : un outil Endpoint Detection and Response (EDR) killer capable de neutraliser les produits de sécurité les plus avancés sur les systèmes compromis. Considéré comme le successeur d’EDRKillShifter et initialement attribué à RansomHub, cet outil est déjà exploité par huit groupes de ransomware. Son objectif est clair : ouvrir la voie à l’exécution de charges malveillantes, à l’escalade de privilèges, aux mouvements latéraux et au chiffrement des données, tout en évitant toute détection.
Les acteurs impliqués
Les chercheurs de Sophos ont identifié RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx et INC parmi les groupes ayant utilisé cet outil. Une adoption aussi large montre qu’il ne s’agit pas d’un outil isolé, mais bien d’un développement issu d’un écosystème collaboratif de ransomware, où les ressources techniques sont partagées.
Fonctionnement technique
L’outil est fortement obfusqué, se décode lui-même à l’exécution et s’injecte dans des applications légitimes. Il recherche un pilote signé numériquement, volé ou expiré, portant un nom aléatoire de cinq caractères, codé en dur dans l’exécutable. Une fois trouvé, le pilote est chargé dans le noyau, permettant une attaque de type « bring your own vulnerable driver » (BYOVD). Cette technique donne un accès au niveau noyau, indispensable pour désactiver les protections.
Se faisant passer pour des pilotes légitimes comme le CrowdStrike Falcon Sensor Driver, le pilote malveillant met fin aux processus et interrompt les services liés aux outils antivirus et EDR. Les fournisseurs ciblés incluent Sophos, Microsoft Defender, Kaspersky, Symantec, Trend Micro, SentinelOne, Cylance, McAfee, F-Secure, HitmanPro et Webroot.
Variantes et développement partagé
Bien que chaque groupe utilise une version légèrement différente, noms de pilotes, fournisseurs visés, caractéristiques de compilation, toutes partagent un point commun : l’utilisation de HeartCrypt pour le packer. Le niveau de similarité indique un développement coordonné, et non une fuite d’un binaire unique. Sophos souligne que chaque attaque exploite une compilation distincte de l’outil propriétaire.
Le partage d’outils dans le monde du ransomware
Le partage et la vente d’EDR killers ne sont pas nouveaux dans la cybercriminalité. Outre EDRKillShifter, Sophos a découvert AuKill, utilisé par Medusa Locker et LockBit. SentinelOne a également signalé que FIN7 vendait son outil AvNeutralizer à plusieurs gangs, dont BlackBasta, AvosLocker, MedusaLocker, BlackCat, Trigona et LockBit. Ces outils sont aujourd’hui essentiels pour contourner les défenses des endpoints.
Enjeux pour la cybersécurité
L’existence et la diffusion rapide de ce nouvel EDR killer démontrent la capacité d’adaptation constante des acteurs du ransomware face aux défenses. Pour les organisations, se fier uniquement à un antivirus ou à un EDR ne suffit plus. Une approche multi-couches est indispensable : sécurité avancée des endpoints, surveillance réseau, Threat Intelligence et plan de réponse aux incidents.
Lire l’article complet de BleepingComputer ici.
