La défense EDR traditionnelle est menacée après qu’un groupe criminel a ajouté une capacité sophistiquée pour la désactiver, prévient ESET.
L’un des plus grands groupes de ransomwares au monde a donné à ses filiales criminelles l’accès à des outils avancés capables de désactiver avec succès de nombreux produits de détection et de réponse des points finaux (EDR) d’entreprise, selon une nouvelle étude menée par la société de sécurité ESET.
Le groupe en question est The Gentlemen, qui, depuis son apparition l’année dernière sous ce surnom, est devenu l’une des plateformes de ransomware-as-a-service (RaaS) les plus performantes grâce à un modèle commercial qui offre aux affiliés une répartition des revenus inhabituellement généreuse de 90/10.
En mai, les serveurs du groupe ont été piratés par un attaquant inconnu, qui a publié des documents analysés par la suite par des chercheurs pour découvrir des informations plus approfondies sur le fonctionnement du groupe.
Une tactique qui, selon ESET, n’a pas reçu l’attention qu’elle mérite est l’importance croissante des « tueurs EDR » dans les 300 attaques de ransomware estimées menées via la plateforme The Gentlemen.
Les tueurs EDR, outils qui tentent de contourner ou de désactiver les agents de sécurité des PC et des serveurs lors d’une cyberattaque, ne sont pas nouveaux, mais ont progressivement augmenté en nombre et en sophistication. Cependant, l’obstacle à leur utilisation dans un contexte de ransomware est qu’un affilié doit toujours développer ou se procurer son propre outil de destruction EDR, une entreprise majeure étant donné le grand nombre de produits EDR utilisés par les défenseurs.
La fuite a confirmé les soupçons d’ESET selon lesquels The Gentlemen avait développé son propre framework EDR Killer, baptisé « GentleKiller », qui donne aux affiliés l’accès à un large éventail de routines EDR Killer sophistiquées sans avoir à effectuer aucun travail eux-mêmes. The Gentlemen intègre également des outils tiers bien connus tels que HexKiller, ThrottleBlood et HavocKiller.
Amenez votre propre conducteur vulnérable
Selon Jakub Souček, chercheur à ESET, cela a eu pour effet de démocratiser les capacités de destruction des EDR, qui sont devenues essentielles pour échapper aux défenses des entreprises.
« En fournissant de tels outils aux affiliés, ils abaissent la barrière d’entrée pour les affiliés moins qualifiés, qui, en plus du chiffreur, reçoivent également tout ce dont ils ont besoin pour effectuer des intrusions. Cela élargit naturellement le pool d’affiliés et permet un déploiement cohérent du chiffreur », a déclaré Souček par e-mail.
Sur un total de huit variantes, un élément central du cadre était la capacité de déployer rapidement de nouvelles preuves de concept BYOVD (Bring Your Own Vulnérable Driver) utilisées pour obtenir des privilèges au niveau du noyau après le chargement d’un pilote vulnérable en mémoire. La technologie a été regroupée avec des évasions pour 400 processus EDR provenant de 48 fournisseurs différents.
Le principe derrière BYOVD est assez simple : une fois qu’un attaquant a obtenu des privilèges d’administrateur grâce à une prise de contrôle de compte, il charge un pilote de fournisseur légitime, mais ancien et vulnérable, à l’intérieur duquel se trouve une vulnérabilité exploitable. Cela étend la puissance du contrôle administrateur au niveau du noyau, leur permettant de cibler les pilotes EDR de manière directe.
La vulnérabilité des outils EDR à une nouvelle génération de techniques d’évasion est connue depuis un certain temps ; une étude réalisée en 2024 par la société de sécurité Trellix a mis en évidence cette faiblesse, et plus tôt cette année, un autre fournisseur de sécurité, Huntress, a signalé un cas récent dans lequel BYOVD avait été utilisé pour charger et cibler un ancien pilote vulnérable afin de désactiver les défenses EDR.
« Le plus grand obstacle à la défense est le fait que les tueurs d’EDR s’appuient sur des pilotes vulnérables et non malveillants qui sont souvent encore utilisés légitimement », a noté Souček.
Pour se défendre contre cela, les entreprises devraient appliquer des protections telles que l’intégrité du code protégé par hyperviseur (HVCI) et l’intégrité du code en mode noyau (KMCI), qui rendent plus difficile le chargement de pilotes anciens ou dangereux, a-t-il déclaré.
Selon Souček, « les entreprises devraient également appliquer des politiques strictes d’autorisation et de blocage des pilotes, notamment via des règles personnalisées adaptées à leur organisation, auditer et supprimer en permanence les pilotes inutiles et garantir que les pilotes vulnérables sont mis à jour ou éliminés. Empêcher l’installation de tels pilotes rend le tueur EDR inoffensif ».
