Les outils de neutralisation des solutions de détection et de réponse aux incidents, appelés EDR killers, sont devenus un composant standard des attaques par rançongiciel. Eset Research publie une analyse fondée sur l’examen de près de 90 de ces outils observés en fonctionnement, révélant une industrialisation avancée de l’écosystème : circulation des bases de code entre groupes criminels, commercialisation sur les marchés clandestins, et premiers signes d’utilisation de l’IA générative dans leur développement.
La logique opérationnelle des attaques par rançongiciel a profondément évolué. Rendre un chiffreur indétectable est une tâche longue, coûteuse et incertaine. Le chiffreur doit modifier un grand nombre de fichiers en un temps très court, ce qui le rend intrinsèquement bruyant et difficile à dissimuler aux solutions de sécurité. Plutôt que d’investir dans cette « bruyante » dissimulation, les affiliés des groupes de type RaaS, ou rançongiciel en tant que service, ont adopté une approche plus pragmatique : désactiver les protections en amont, puis déployer un chiffreur simple et stable. Les EDR killers remplissent précisément ce rôle. « Les EDR killers perdurent parce qu’ils sont peu coûteux, fiables et découplés du chiffreur, ce qui en fait un outil idéal aussi bien pour les développeurs de rançongiciels que pour les affiliés qui souhaitent disposer d’un utilitaire puissant pour neutraliser les défenses avant le chiffrement », explique Jakub Souček, chercheur chez Eset.
Contrairement aux Rootkit et aux Bootkit, qui font partie de la même famille de menaces pré-OS, ou bas niveau, la séquence des EDR killers est différente. Les bootkits et Bootkits visent la persistance à long terme, souvent dans un objectif d'espionnage discret. Les EDR killers visent la neutralisation rapide et ponctuelle des défenses juste avant le chiffrement. Ils ne cherchent pas à persister, ils cherchent une fenêtre d'exécution fiable de quelques minutes. Leur séquence d’attaque est devenue suffisamment standardisée pour être décrite comme une procédure : élévation de privilèges, déploiement de l’EDR killer pour neutraliser les protections, puis lancement du chiffreur. Cette séparation des responsabilités entre composants reflète la maturité organisationnelle des groupes RaaS, dans lesquels les opérateurs fournissent l’infrastructure et le chiffreur, tandis que le choix des outils de neutralisation revient aux affiliés.
La technique BYOVD reste dominante
La technique BYOVD (Bring Your Own Vulnerable Driver) demeure la méthode de référence. Son principe repose sur le dépôt d’un pilote légitime, mais vulnérable sur la machine cible, son installation comme service système, puis l’exploitation de sa vulnérabilité pour accéder au noyau et terminer les processus de sécurité. L’attrait de cette méthode tient à sa fiabilité : les pilotes légitimes signés contournent les mécanismes de vérification habituels, et leur présence dans des environnements de production est moins susceptible de déclencher des alertes immédiates. En février 2026, Huntress a documenté une intrusion dans laquelle le pilote EnPortv.sys a été exploité malgré un certificat expiré et explicitement révoqué, illustrant les limites des mécanismes de vérification actuels.
L’analyse d’Eset révèle cependant une diversification significative des techniques. Pas moins de 54 EDR killers distincts exploitent 35 pilotes vulnérables différents, certains pilotes apparaissant dans des outils sans lien apparent entre eux, et certains outils changeant de pilote d’une version à l’autre. Une catégorie croissante d’EDR killers opère sans interaction avec le noyau, en ciblant d’autres fonctions critiques des solutions de sécurité plutôt que leurs processus eux-mêmes. Les outils les plus simples n’utilisent aucune technique avancée : ils s’appuient sur des commandes d’administration natives comme taskkill, net stop ou sc delete pour interférer avec les processus de sécurité, parfois combinés avec un redémarrage en mode sans échec de Windows, qui charge un sous-ensemble minimal du système d’exploitation excluant généralement les solutions de sécurité.
Plus le réseau d’affiliés est large, plus l’outillage se diversifie
L’une des conclusions les plus fondamentales de l’analyse d’Eset concerne la gouvernance de ces outils au sein des écosystèmes RaaS. Le choix des EDR killers revient aux affiliés, pas aux opérateurs des gangs. Cette décentralisation produit deux effets directs : plus le réseau d’affiliés est large, plus l’outillage se diversifie ; et l’attribution des attaques à partir des pilotes ou des bases de code utilisés devient trompeuse, car les mêmes composants circulent librement entre groupes non liés.
L’écosystème couvre un spectre large, des simples preuves de concept publiées sur des dépôts publics aux outils industriels commercialisés sur les marchés clandestins. Des outils comme DemoKiller (aussi connu sous le nom de Бафомет), ABYSSWORKER ou CardSpaceKiller sont proposés comme services sur le web clandestin, avec une base de clientèle propre et des mises à jour régulières. Des groupes fermés comme DeadLock et Warlock développent leurs outils en interne, ce qui éclaire le fonctionnement de structures qui ne font pas appel à des affiliés externes. La forte réutilisation des bases de code entre outils comme SmilingKiller et TfSysMon-Killer, documentée par Eset à travers des similarités de code analysées, illustre la logique de fork permanent qui caractérise cet écosystème.
L’IA générative, facteur de développement des EDR killers
L’analyse d’Eset confirme ce qui était prévisible : des traces d’utilisation de l’IA générative dans le développement de certains EDR killers récents. Il n’existe pas de marqueur forensique définitif permettant de distinguer du code généré par IA de code écrit manuellement, en particulier lorsque les attaquants obfusquent ou post-traitent leur production. Eset s’appuie sur un faisceau d’indices structurels pour formuler cette évaluation. L’exemple le plus documenté concerne un EDR killer déployé par le groupe Warlock : l’outil contient une section de code affichant une liste de « correctifs possibles », motif typique du code générique produit par les modèles de langage, et implémente un mécanisme d’essais successifs qui teste plusieurs noms de périphériques vulnérables couramment exploités jusqu’à trouver un vecteur fonctionnel sur le système cible.
« Le vibe coding complique davantage le suivi et l’attribution des menaces », souligne Jakub Souček. Ce terme désigne la pratique consistant à générer du code fonctionnel via des modèles de langage sans maîtrise complète de son fonctionnement interne. Appliqué au développement d’outils offensifs, il abaisse significativement le niveau de compétence technique requis pour produire un EDR killer fonctionnel, élargissant potentiellement le vivier d’acteurs capables de contribuer à cet écosystème.
Intercepter l’EDR killer avant l’exécution du pilote
La conclusion opérationnelle d’Eset pour les équipes de sécurité est de bloquer le chargement des pilotes vulnérables connus. Une mesure nécessaire, mais insuffisante, estime l’éditeur d’antimaliciels. Cette défense intervient trop tard dans la chaîne d’attaque. Au moment où un pilote est bloqué, l’attaquant dispose déjà de privilèges élevés et peut basculer vers un autre outil pour atteindre le même résultat. Par ailleurs, un blocage trop agressif des pilotes risque de perturber des logiciels métiers légitimes qui s’appuient sur ces mêmes composants.
La stratégie recommandée repose sur une détection et une neutralisation de l’EDR killer avant son exécution, à chaque étape de la chaîne d’intrusion. Cela suppose une surveillance des comportements d’élévation de privilèges, une détection des tentatives de chargement de pilotes non standard, et une capacité de confinement immédiat de l’hôte dès la détection d’activité suspecte en amont du déploiement du chiffreur. Pour les RSSI d’organisations soumises à NIS2 ou DORA, qui doivent démontrer une capacité de détection et de réponse aux incidents, la documentation de cette chaîne de détection multicouche constitue désormais un élément de conformité à part entière.
