● Silicon.fr Télécom 📅 15/04/2026 à 14:16

EDR Killers : l’évasion industrialisée

Cybersécurité 👤 Benoit Grunemwald*
Illustration
Les campagnes de ransomware récentes s’appuient sur un outil annexe qui se généralise. Pour arriver à leurs fins, les groupes ne se contentent plus seulement d’exécuter un chiffrement ou une exfiltration de données, auparavant et pour assurer leur furtivité, ils s’attelaient à démanteler méthodiquement les dispositifs de défense. Ainsi, la neutralisation des solutions EDR, dont l’essor gêne visiblement leurs opérations, est devenue une étape systématique, standardisée, intégrée au scénario d’attaque. Les « EDR Killers » incarnent cette évolution, un écosystème industrialisé, diversifié et en partie assisté par l’intelligence artificielle. Tuer la détection avant de chiffrer ou d’exfiltrer Pourquoi s’acharner à désactiver les EDR plutôt que de rendre les ransomwares furtifs ? Pour une raison simple, la fiabilité. Le chiffrement massif de fichiers est intrinsèquement bruyant. Le masquer durablement est complexe et non pérenne. Les EDR Killers offrent une approche plus efficace. En créant une fenêtre d’exécution contrôlée, ils garantissent que la phase finale de l’attaque se déroule sans alerter les équipes sécurité. Les opérateurs peuvent ainsi conserver des chiffreurs simples, robustes et facilement remplaçables. L’évasion précède le rançongiciel et elle en conditionne le succès. Un arsenal technique de plus en plus large Nos travaux, fondés sur l’analyse d’environ 90 outils actifs, montrent une diversification rapide des techniques. Le BYOVD (Bring Your Own Vulnerable Driver) reste majoritaire, avec plus de cinquante outils exploitant ce principe. Il repose sur l’installation de pilotes légitimes mais vulnérables pour obtenir des privilèges noyau et désactiver les protections. Trente-cinq pilotes différents sont aujourd’hui abusés, souvent partagés par plusieurs groupes. Lire aussi : Cyberattaques : les entreprises françaises mieux armées mais toujours sous pression À côté, une zone grise s’est développée autour d’outils légitimes. Des anti-rootkits, conçus pour intervenir au niveau du noyau, sont détournés pour arrêter des processus protégés. Ils transforment des affiliés peu techniques en opérateurs capables de neutraliser des processus, dont des EDR. Une troisième voie émerge, les approches sans pilote. Des outils comme EDRSilencer ou EDR-Freeze paralysent la détection sans toucher au noyau, en bloquant les communications réseau ou en gelant les composants de sécurité. Leur discrétion complique fortement la détection. Enfin, certains groupes franchissent un cap opérationnel. Le groupe Play illustre cette évolution en opérant une suppression complète des agents de sécurité depuis le disque, l’altération des pare-feux voir des coupures de l’accès Internet. L’EDR n’est plus arrêté. Il est éradiqué. L’évasion devient un produit Dans l’économie du Ransomware-as-a-Service, les rôles se spécialisent. Les développeurs produisent le rançongiciel. Les affiliés opèrent les EDR Killers. Cette séparation a fait émerger un marché dédié : l’évasion en tant que service. Des outils comme DemoKiller, AbyssKiller ou CardSpaceKiller sont vendus clés en main sur les forums clandestins. Obfuscation avancée, packers commerciaux, pilotes chiffrés, protections contre l’analyse, tout est conçu pour abaisser le niveau technique requis et maximiser le taux de réussite. L’IA comme accélérateur L’intelligence artificielle commence à influencer ces développements. Sans être toujours attribuable avec certitude, son empreinte apparaît dans certains outils, notamment au sein du gang Warlock. Présence de code générique typique des LLM, structures redondantes, listes de scénarios intégrées au binaire. Plus préoccupant, l’IA semble faciliter des mécanismes d’essais automatisés. L’outil teste successivement différents périphériques ou vecteurs connus jusqu’à trouver une configuration exploitable. L’expertise humaine est partiellement remplacée par l’expérimentation assistée. Attribution complexe et défense sous tension Attribuer une attaque à partir d’un pilote utilisé est limitatif. Les mêmes composants circulent entre groupes, changent de version, évoluent à la marge. Se focaliser sur un artefact isolé c’est risquer de passer à côté de la réalité des chaînes d’attaque et des relations entre outils, affiliés et infrastructures. L’attribution de l’attaque est pourtant un maillon essentiel de la réponse à incident, pour la prendre dans son ensemble la Cyber Threat Intelligence est une alliée. Lire aussi : EDR au CHRU de Brest : le déploiement expliqué par son RSSI Côté défense, bloquer les pilotes vulnérables est nécessaire mais insuffisant. Cette mesure intervient souvent trop tard et peut perturber des logiciels légitimes. La réponse doit être plus large : Réduire les surfaces d’entrée initiales. Observer les comportements, y compris ceux d’outils réputés légitimes. Intercepter l’EDR Killer en amont, avant toute tentative d’escalade. Garantir des sauvegardes réellement résilientes, isolées et testées. Surveiller les activités des solutions de sécurité (SOC / MDR…) Les EDR Killers ne relèvent plus de l’exception. Ils sont devenus des instruments centraux d’une cybercriminalité mature, structurée, pragmatique. En exploitant la légitimité des outils et des signatures, ils déplacent le combat. La détection doit désormais viser l’intention, avant que les défenses ne soient réduites au silence. * Benoit Grunemwald, est expert en cybersécurité chez ESET
← Retour