ESET Research publie une analyse approfondie de l’écosystème des EDR killers, ces outils conçus pour aveugler les solutions de sécurité avant le déploiement d’un ransomware. Basée sur près de 90 outils observés en conditions réelles, l’étude révèle un marché structuré, piloté par les affiliés et de plus en plus assisté par l’IA.
Un outil devenu standard dans l’arsenal ransomware
Dans l’économie souterraine du ransomware, la désactivation des outils de protection n’est plus une option : c’est un prérequis. Avant même de déployer leur chiffreur, les attaquants s’emploient systématiquement à neutraliser les solutions EDR (Endpoint Detection and Response) présentes sur les systèmes ciblés. C’est là qu’interviennent les EDR killers — des outils spécialisés dont l’adoption a pris une ampleur industrielle.
C’est le constat central du nouveau rapport d’ESET Research, qui documente un écosystème vaste, allant de simples preuves de concept publiées sur des forums à des produits commerciaux sophistiqués vendus sur le dark web. La firme slovaque a analysé environ 90 outils détectés en conditions réelles pour dresser un panorama inédit de cette menace.
Le BYOVD, technique reine mais non exclusive
La méthode dominante reste le BYOVD — Bring Your Own Vulnerable Driver. Le principe : introduire dans le système un pilote légitime mais connu pour ses vulnérabilités, puis l’exploiter pour obtenir un accès au noyau Windows avec des privilèges élevés. Cette approche présente un avantage décisif pour les attaquants : les pilotes légitimes sont difficiles à bloquer par les solutions de sécurité sans risquer de perturber l’environnement métier.
Mais le BYOVD n’est pas la seule voie. ESET identifie une catégorie croissante d’EDR killers qui contournent entièrement le noyau, ciblant d’autres fonctions critiques ou s’appuyant sur des outils d’administration natifs déjà présents sur les machines. Cette diversification technique reflète une adaptation constante des attaquants aux mesures défensives déployées par l’industrie.
Les affiliés, véritables moteurs de la diversité des outils
Une des conclusions les plus structurantes du rapport concerne la gouvernance de cet écosystème. Dans le modèle RaaS (Ransomware-as-a-Service), les opérateurs — les gangs éditeurs — fournissent l’infrastructure et le chiffreur. Mais le choix des EDR killers revient aux affiliés, ces acteurs tiers qui mènent les intrusions sur le terrain.
« L’écosystème est très large, allant de simples preuves de concept à des outils industriels. L’analyse des solutions commercialisées sur le dark web permet de mieux comprendre leur adoption et d’identifier des liens entre acteurs. »
— Jakub Souček, chercheur ESET Research
Plus un réseau d’affiliés est étendu, plus l’outillage se diversifie. Cette décentralisation explique la grande variété des EDR killers observés sur le terrain, mais aussi la forte réutilisation de bases de code entre outils apparemment distincts — un indice précieux pour les équipes de threat intelligence cherchant à établir des connexions entre groupes.
L’IA, nouveau facteur dans le développement des malwares
ESET introduit dans ce rapport un élément inédit : l’empreinte probable de l’intelligence artificielle générative dans le développement de certains EDR killers. Sans pouvoir l’affirmer formellement, les chercheurs relèvent des caractéristiques typiques de code généré automatiquement — structures génériques, logiques d’essais successifs, fragments proches de modèles connus.
L’exemple le plus documenté est un outil utilisé par le groupe Warlock. Celui-ci intègre un mécanisme dit de boilerplate, testant plusieurs pilotes vulnérables en séquence jusqu’à identifier un vecteur exploitable. Ce type de logique itérative, peu économique en termes de développement manuel, suggère une assistance algorithmique dans la conception du code.
Défendre en amont, avant l’exécution du pilote
Face à cette menace, ESET insiste sur une limite fondamentale des défenses actuelles : bloquer le chargement de pilotes vulnérables connus est nécessaire, mais insuffisant. Les attaquants disposent de nombreuses techniques de contournement, et l’écosystème des pilotes exploitables reste trop vaste pour être couvert exhaustivement par des listes noires.
La réponse doit donc intervenir en amont — avant même qu’un pilote malveillant soit chargé. Cela implique de surveiller les comportements précédant l’élévation de privilèges, de détecter les phases de reconnaissance et de mouvement latéral, et d’adopter une posture défensive adaptée au caractère interactif et adaptatif des attaques ransomware.
« Se défendre contre ces attaques nécessite une approche différente : contrairement aux menaces automatisées, les attaques par ransomware sont interactives et adaptatives. »
— Jakub Souček, chercheur ESET Research
