Ransomware : comment les attaquants désactivent vos outils de sécurité avec BYOVD et EDR Killers

Les ransomwares ont changé de visage. En 2026, les groupes d’attaquants ne se contentent plus de chiffrer vos fichiers : ils dismantlent méthodiquement vos défenses, volent vos données, et se préparent même à un avenir post-quantique. Dans le secteur manufacturier seul, les ransomwares ont causé environ 18 milliards de dollars de pertes au cours des trois premiers trimestres 2025, selon des données conjointes de Kaspersky et VDC Research. Cette statistique révèle une réalité troublante : malgré un slight decline global des incidents ransomware dans le monde, la menace reste profondément ancrée et atteint un niveau de sophistication sans précédent.

Comprendre le BYOVD : quand les pilotes légitimes deviennent des armes

Qu’est-ce que le BYOVD exactement ?

Le Bring Your Own Vulnerable Driver (BYOVD) désigne une technique par laquelle les attaquants exploitent des pilotes (drivers) légitimement signés et vulnérables pour désactiver les mécanismes de sécurité sur un système cible. Concrètement, ces pilotes disposent de certificats valides émis par Microsoft ou d’autres autorités de confiance. Leurs signatures numériques permettent de les charger en espace noyau (kernel mode) sans déclencher les mécanismes de protection habituels.

Une fois chargés, ces pilotes vulnérable offrent des privilèges système élevés qui permettent de mettre fin à des processus critiques, notamment les agents EDR (Endpoint Detection and Response). L’abus repose sur une caractéristique fondamentale de Windows : les processus fonctionner en mode noyau bénéficient d’une confiance implicite. Les solutions de sécurité ne peuvent pas bloquer ces opérations sans risquer de provoquer un plantage du système.

« Le BYOVD exploite la chaîne de confiance elle-même. Un pilote signé par un éditeur légitime circule sous le radar des antivirus traditionnels, car il dispose des mêmes privilèges que les composants critiques du système d’exploitation. » - Analyse technique Kaspersky, 2025

Le mécanisme des EDR Killers

Les EDR Killers constituent une évolution directe du BYOVD. Ces outils spécifiquement conçus visent à neutraliser les solutions de détection et réponse sur les endpoints avant le déploiement du ransomware. Leur fonctionnement repose sur plusieurs phases bien orchestrées.

La première phase implique l’injection ou le chargement du pilote vulnérable en mémoire. Cette étape passe généralement desapercibie car le pilote dispose d’une signature valide. La seconde phase consiste à énumérer les processus actifs sur le système pour identifier les composants de sécurité. Les agents EDR comme Microsoft Defender for Endpoint, CrowdStrike ou SentinelOne sont ciblés en priorité.

La troisième phase déploie les instructions de terminaison. Le pilote exploite ses privilèges kernel pour mettre fin aux processus critiques, désinstaller les services associés, ou encore supprimer les clés de registre permettant le démarrage automatique des agents de sécurité. Une fois ces défenses neutralisées, le ransomware peut s’exécuter sans obstruction.

Selon le Kaspersky Security Network, les organisations ayant signalé des incidents ransomware en 2025 ont observé une progression significative des tentatives de désactivation des outils de sécurité en amont de l’attaque principale. Cette évolution témoigne d’une industrialisation des méthodes offensives.

Pourquoi cette technique est-elle si efficace ?

L’efficacité du BYOVD repose sur trois facteurs convergents. Premièrement, la trust chain Windows associe automatiquement une confiance élevée aux pilotes signés numériquement. Deuxièmement, les solutions de sécurité en espace utilisateur (user mode) ne disposent pas des privilèges nécessaires pour intercepter ou bloquer les opérations effectueés par un pilote kernel. Troisièmement, les mises à jour de sécurité Windows sont déployées avec un délai pendant lequel les pilotes vulnérables remain exploitables.

Des bases de données comme NT都不敢 (NT都不敢) ou BYOVD-check référencent des centaines de pilotes vulnérables signés encore exploitables sur les versions courantes de Windows. Les attaquants consultent régulièrement ces catalogues pour identifier les candidats optimaux selon la version du système cible.

La nouvelle génération de ransomware : encryption post-quantique et double extorsion

L’avènement du chiffrement résistant à l’informatique quantique

L’année 2026 marque l’émergence de familles ransomware intégrant des algorithmes de chiffrement post-quantique. Cette évolution représente un changement de paradigme pour les professionnels de la sécurité. Traditionally, le chiffrement RSA-2048 ou AES-256 constituait le standard pour protéger les clés de chiffrement. Cependant, l’informatique quantique threatens to eventually break these algorithms, prompting attackers to future-proof their operations.

La famille PE32 illustre parfaitement cette tendance. Elle implémente le standard ML-KEM (anciennement connu sous le nom de CRYSTALS-Kyber) avec l’algorithme Kyber1024 pour sécuriser ses clés de chiffrement. Ce mécanisme offre un niveau de sécurité comparable à AES-256 tout en resistantly aux attaques quantiques. Il s’aligne sur les recommandations du NIST (National Institute of Standards and Technology) publiées en 2024 concernant la cryptographie post-quantique.

Cette innovation rend la récupération des données sans paiement de rançon de plus en plus improbable. Les organisations ayant investi dans des sauvegardes offline découvrent que même ces protections peuvent devenir obsolètes si les clés de déchiffrement ne peuvent jamais être récupérées.

Du chiffrement à l’exfiltration : le changement de modèle économique

Les données du Kaspersky Security Network révèlent une tendance marquante : les paiements de rançon ont chuté à 28% en 2025. Cette baisse significative ne reflète pas un affaiblissement de la menace mais plutôt une évolution stratégique des attaquants. De nombreux groupes privilégient désormais le vol de données plutôt que leur chiffrement.

Cette approche, appelée extorsion sans chiffrement ou data-centric extortion, élimine plusieurs contraintes inhérentes au modèle traditionnel. Premièrement, l’exfiltration de données passe plus facilmente sous les radars des outils de sécurité qu’une activité de chiffrement massive. Deuxièmement, les sauvegardes ne constituent plus une protection efficace puisque les données remain accessibles aux attaquants même après restauration. Troisièmement, la pression réglementaire du RGPD et du Digital Operational Resilience Act (DORA) amplifie les consequences d’une exposition de données personnelles.

Le groupe ShinyHunters exemplifies this trend. Plutôt que de chiffrer les systèmes, il siphonne les données sensibles et menace de les publier sur des forums underground ou des plateformes de leak. L’analyse des techniques d’exfiltration utilisées par ces groupes révèle les vecteurs d’attaque spécifiques à cette approche. Cette méthode permet de réduire le temps de détection tout en maximiser l’impact sur la victime. Les amendes RGPD pouvant atteindre 4% du chiffre d’affaires annuel mondial rendent cette stratégie particulièrement rentable.

Cartographie des acteurs et évolution de l’écosystème ransomware

Les groupes dominants en 2025 et 2026

L’écosystème ransomware en 2025 présente une concentration marquée autour de quelques acteurs majeurs. Qilin s’est imposé comme le groupe le plus actif, supplantant RansomHub qui a connu une mise en sommeil inattendue au second semestre. Clop et Akira complètent le trio de tête, confirmant la persistance des groupes établis malgré les opérations law enforcement.

Des acteurs émergents attirent également l’attention. The Gentlemen se distingue par des opérations structurées et professionnelles, privilégiant l’extorsion centrée sur les données plutôt que le chiffrement traditionnel. Devman, NightSpire et Vect illustrent la faible barrière à l’entrée du marché, permettant à des groupes moins sophistiqués de générer des revenus substantiels.

Le rôle critique des Initial Access Brokers (IABs)

L’écosystème ransomware s’est industrialisé autour d’un modèle de division du travail. Les Initial Access Brokers (IABs) constituent désormais un maillon essentiel de la chaîne d’attaque. Ces acteurs se spécialisent dans l’obtention d’accès initiaux aux réseaux d’entreprise qu’ils revendent ensuite aux opérateurs de ransomware.

Les méthodes d’obtention d’accès incluent principalement les infostealers (info voleurs) comme RedLine ou Lumma Stealer, ainsi que les campagnes de phishing ciblées. Les credentials collectés sont ensuite mis en vente sur des marketplaces underground ou des canaux Telegram privés. Les prix varient selon la qualité de l’accès : un accès RDP avec privilèges administrateur peut atteindre plusieurs milliers de dollars.

« L’industrialisation de l’accès initial a démocratisé l’entrée dans l’écosystème ransomware. Même des attaquants peu techniques peuvent désormais acquérir des accès pré-configurés et lancer leurs propres campagnes. » - Rapport annuel sur la cybercriminalité, Europol, 2025

L’évolution des vecteurs d’accès : de RDP vers RDWeb

Une tendance notable concerne l’évolution des points d’entrée privilégiés par les attaquants. Alors que les services RDP (Remote Desktop Protocol) exposés constituaient historically le premier vecteur d’accès, les organisations ont renforcé leurs défenses autour de ces services. Les attaquants adaptent désormais leur stratégie vers les portals RDWeb (Remote Desktop Web Access).

Ces interfaces web, souvent moins surveillées que les services RDP directs, offrent une surface d’attaque alternative. Elles permettent de contourner certaines protections MFA et offrent un accès inicial au réseau d’entreprise. La configuration par défaut de certains environnements Windows Server facilite l’exploitation de ces vector. Les techniques de malvertising sur macOS illustrent la diversité des vecteurs d’accès utilisés par les attaquants modernes.

Stratégies de défense face aux EDR Killers et BYOVD

Détection et surveillance des comportements anormaux

Face à l’évolution des techniques offensives, les organisations doivent adopter une approche proactive pour détecter les tentatives de désactivation des outils de sécurité. La surveillance des événements système (ETW - Event Tracing for Windows) offre une visibilité sur les operations kernel sans dépendance aux agents user-mode.

Plusieurs indicators de compromission (IoC) doivent être surveillés en priorité :

• Chargement inhabituel de pilotes non autorisés
• Terminaison de processus de sécurité légitimes (services.exe,MsMpEng.exe,SentinelOne*
• Modification des clés de registreHKLM\SYSTEM\CurrentControlSet\Services
• Commandes PowerShell tentant de désactiver Windows Defender
• Activité réseau suspecte vers des serveurs de commande et contrôle

La vérification de la fiabilité des sources est essentielle pour valider les indicateurs de compromission identifiés. L’implémentation de règles YARA pour détecter les variations de familles ransomware connues représente une couche de défense supplémentaire. Ces règles permettent d’identifier les patterns caractéristiques des EDR killers même lorsque les signatures antivirus traditionnelles fail to detect.

Hardening et contrôle des pilotes

Le Microsoft Driver Blocklist constitue une première ligne de défense contre les exploits BYOVD. Cette liste, régulièrement mise à jour, identifie les pilotes vulnérables known et empêche leur chargement sur les systèmes protégés. L’activation de HVCI (Hypervisor-Protected Code Integrity) renforce significativement cette protection en exécutant le code integrity dans un hyperviseur isolé.

Les organisations doivent également maintenir une whitelist stricte des pilotes autorisés. L’outil WDAC (Windows Defender Application Control) permet de configurer des politiques de code integrity restrictives. Cette approche whitelisting peut sembler fastidieuse mais offre une protection robuste contre le chargement de pilotes non autorisés.

# Exemple de configuration HVCI via PowerShell
Enable-HVCI
Set-HVCIEnabled -Enable $true
# Vérification du statut
Get-HVCIStatus

Architecture zero trust et segmentation réseau

L’adoption d’une architecture Zero Trust limite l’impact d’une compromise d’endpoint. Le principe du moindre privilège appliqué aux comptes de service et aux accès réseau ralentit la progression latérale des attaquants après l’initial compromise.

La segmentation réseau constitue une mesure complémentaire essentielle. L’isolation des environnements de production, de sauvegardes et d’administration limite la propagation d’un incident. Un ransomware ayant compromise un poste de travail ne doit pas pouvoir atteindre directement les serveurs de sauvegarde critiques.

Les solutions EDR de nouvelle génération intègrent des mécanismes de protection contre leur propre désactivation. CrowdStrike propose notamment des protections agent-level et des capacités de recovery automatique. SentinelOne offre des fonctions de rollback permettant de restaurer un endpoint compromise à son état antérieur.

Plan de réponse aux incidents et continuité d’activité

Un plan de réponse aux incidents robuste doit anticiper le scenario où les outils de sécurité sont neutralisés. La detection hors-band, basée sur des solutions réseau (NTA - Network Traffic Analysis) ou des outils EDR deployed sur des serveurs dédiés, permet de maintenir une visibilité même lorsque les endpoints sont compromis.

La stratégie de sauvegarde constitue le dernier rempart. Les sauvegardes air-gapped, isolées physiquement du réseau principal, résistent aux ransomware même sophistiqués. La règle 3-2-1 (trois copies, deux médias différents, une copie hors site) demeure pertinente, mais doit désormais intégrer la protection contre l’exfiltration de données.

L’Ansi recommmandations regarding les exercices de simulation d’incident (tabletop exercises) permettent de valider les procédures avant une vraie crise. Ces exercices doivent inclure des scenarios de désactivation d’EDR et d’exfiltration de données pour tester la resilance organisationnelle.

L’action des autorités et perspectives pour 2026-2027

Opérations law enforcement majeures

Les autorités compétentes ont intensifié leurs actions contre les plateformes ransomware en 2025-2026. Les takedowns de RAMP et LeakBase ont perturbé significativement les opérations de nombreux groupes. Ces arrestations font suite aux actions précédentes contre Nulled, Cracked et XSS, démontrant une continuité dans la pression judiciaire.

Ces opérations génèrent des vagues de déplacement (displacement effect). Les communautés se reconstituent rapidement sur de nouvelles plateformes, souvent plus fragmentées et plus prudentes. Cependant, elles créent également des opportunités de surveillance et d’infiltration pour les agences de renseignement.

L’ANSSI (Agence nationale de la sécurité des systèmes d’information) maintient un rôle de coordination au niveau national. Le CERT-FR publie régulièrement des alertes concernant les campagnes en cours et les indicateurs de compromission freshly identified. Les organisations françaises peuvent également bénéficier du cadre réglementaire imposant la notification des incidents majeurs.

Tendances à surveiller

Plusieurs évolutions méritent une attention particulière pour les mois à venir. L’adoption croissante de l’intelligence artificielle par les attaquants pour automatiser la reconnaissance et l’adaptation des outils de sécurité représente une menace émergente. Les modèles de ransomware-as-a-service (RaaS) continueront probablement de baisser les barrières techniques à l’entrée.

La specialization croissante des groupes laisse présager une fragmentation further de l’écosystème. Les IABs continueront de jouer un rôle de premier plan dans la chaîne d’attaque. Les surfaces d’attaque liées au travail hybride (accès cloud, collaboration tools, endpoints personnels) restent des cibles prioritaires.

« La cybersécurité n’est plus une question technique uniquement. Elle est devenue un enjeu de résilience organisationnelle, de gouvernance et de chaîne d’approvisionnement. Les organisations qui intègrent cette réalité dans leur stratégie disposeront d’un avantage significatif. » - Rapport de tendance, ANSSI, 2026

Conclusion : vers une approche proactive de la sécurité ransomware

L’évolution des techniques BYOVD et EDR Killers témoigne d’une sophistication croissante de l’écosystème ransomware. Les attaquants ne se contentent plus d’exploiter des vulnérabilités techniques ; ils désactivent méthodiquement les protections pour maximiser leurs chances de succès. Face à cette réalité, les organisations doivent adopter une posture defensive multi-couches.

La combinaison de hardening technique (HVCI, WDAC, Driver Blocklist), de surveillance comportementale, d’architecture Zero Trust et de plans de réponse aux incidents documentés constitue le socle d’une defense efficace. Les stratégies de sauvegarde air-gapped gardent leur pertinence mais doivent être complétées par des mesures de protection contre l’exfiltration de données.

L’engagement avec les communautés de partage d’informations (ISACs sectoriels, CERT-FR, consortiums privés) offre un avantage compétitif face à des adversaires collaborant activement. La menace ransomware en 2026 exige une vigilance permanente et une capacité d’adaptation continue. Les organisations qui comprennent que la sécurité de leurs endpoints dépend autant de leur architecture que de leurs outils de détection disposeront des meilleures chances de resists à cette industrie cybercriminal en constante évolution.