Les récentes campagnes de ransomware s’appuient de plus en plus sur un outil complémentaire en voie de généralisation. Les groupes ne se limitent plus au chiffrement ou à l’exfiltration de données. Ils neutralisent méthodiquement les dispositifs de défense en amont pour agir sans être détectés. La mise hors service des solutions EDR, dont la montée en puissance entrave leurs opérations, est ainsi devenue une phase standard du scénario d’attaque. Les EDR killers illustrent cette évolution : un écosystème industrialisé, diversifié et partiellement soutenu par l’intelligence artificielle.
Tuer la détection avant de chiffrer ou d’exfiltrer
Pourquoi chercher à désactiver les EDR plutôt qu’à rendre les rançongiciels plus furtifs ? Pour une raison simple : c’est plus fiable. Le chiffrement massif de fichiers reste, par nature, très visible. Le dissimuler durablement est difficile et rarement tenable. Les EDR killers offrent donc une solution plus efficace. En ouvrant une fenêtre d’exécution maîtrisée, ils permettent à la phase finale de l’attaque de se dérouler sans alerter les équipes de sécurité. Les opérateurs peuvent ainsi s’appuyer sur des chiffreurs simples, robustes et faciles à remplacer. L’évasion vient avant le rançongiciel et en conditionne la réussite.
Un arsenal technique de plus en plus large
Les travaux d’ESET, fondés sur l’analyse d’environ 90 outils actifs, montrent une diversification rapide des techniques. Le BYOVD (Bring Your Own Vulnerable Driver) reste dominant, avec plus de 50 outils fondés sur ce principe. Cette méthode consiste à installer des pilotes légitimes mais vulnérables afin d’obtenir des privilèges noyau et de désactiver les protections. 35 pilotes différents sont aujourd’hui exploités, souvent par plusieurs groupes.
Parallèlement, une zone grise s’est développée autour d’outils légitimes. Des anti-rootkits, conçus pour agir au niveau du noyau, sont détournés pour arrêter des processus protégés. Ils permettent ainsi à des affiliés peu techniques de neutraliser certains processus de sécurité, y compris des EDR.
Une troisième voie apparaît : les approches sans pilote. Des outils comme EDRSilencer ou EDR-Freeze neutralisent la détection sans modifier le noyau, en bloquant les communications réseau ou en gelant les composants de sécurité. Leur discrétion rend leur repérage nettement plus difficile.
Enfin, certains groupes franchissent un seuil opérationnel. Play en offre une illustration : suppression complète des agents de sécurité depuis le disque, altération des pare-feux, voire coupure de l’accès à Internet. L’EDR n’est plus simplement stoppé, il est éliminé.
L’évasion devient un produit, saupoudré d’IA
Dans l’économie du ransomware as a service, les rôles se spécialisent. Les développeurs produisent le rançongiciel. Les affiliés opèrent les EDR killers. Cette séparation a fait émerger un marché dédié : l’évasion en tant que service. Des outils comme DemoKiller, AbyssKiller ou CardSpaceKiller sont vendus clés en main sur les forums clandestins. Obfuscation avancée, packers commerciaux, pilotes chiffrés, protections contre l’analyse, tout est conçu pour abaisser le niveau technique requis et maximiser le taux de réussite. D’autre part, l’intelligence artificielle commence à influencer ces développements. Sans être toujours attribuable avec certitude, son empreinte apparaît dans certains outils.
Réduire la tension en défense
Côté défense, bloquer les pilotes vulnérables est nécessaire mais insuffisant. Cette mesure intervient souvent trop tard et peut perturber des logiciels légitimes. La réponse doit être plus large : réduire les surfaces d’entrée initiales, observer les comportements – y compris ceux d’outils réputés légitimes –, intercepter l’EDR killer en amont avant toute tentative d’escalade, garantir des sauvegardes réellement résilientes, isolées et testées et surveiller les activités des solutions de sécurité (SOC/MDR…).
Les EDR killers ne relèvent plus de l’exception. Ils sont devenus des instruments centraux d’une cybercriminalité mature, structurée, pragmatique. En exploitant la légitimité des outils et des signatures, ils déplacent le combat. La détection doit désormais viser l’intention, avant que les défenses ne soient réduites au silence.
Étude ESET sur 90 EDR killers : https://www.welivesecurity.com/en/eset-research/edr-killers-explained-beyond-the-drivers/
