Un tueur d'EDR retrouvé dans l'arsenal d'un groupe de ransomware

Le gang The Gentlemen proposait à ses affiliés un outils sophistiqué pour désactiver les solutions de détection et réponse aux menaces sur les terminaux incluant PC, smartphones et serveurs. Il utilisait notamment la technique d'intégration de pilote vulnérable en mémoire.

Selon une étude de la société Eset, l’un des principaux groupes de ransomware as a service propose à ses affiliés l’accès à des outils avancés capable de neutraliser efficacement des solutions EDR (détection et réponses d’incident sur les terminaux). Nommé The Gentlemen, il a fait son apparition l’année dernière et a gagné en popularité grâce à un partage de revenu exceptionnellement avantageux (90/10) pour les affiliés.

GentleKiller un tueur d’EDR taillé sur mesure

En mai dernier, les serveurs du groupe ont été piratés par un attaquant inconnu, qui a publié des documents analysés par la suite par des chercheurs afin de mieux comprendre le fonctionnement du groupe. Dans leur analyse, ils mettent l’accent sur l’importance croissante des « tueurs d’EDR » dans les quelques 300 attaques par ransomware perpétrées par The Gentlemen. Ce genre d’outils ne sont pas nouveaux, mais leur nombre et leur sophistication ont progressivement augmenté.

Dans le cadre de The Gentlemen, le gang a développé son propre outil nommé « GentleKiller », qui permet aux affiliés d'accéder à un large éventail de techniques sophistiquées de ce type sans avoir à les développer eux-mêmes. Le service intègre par ailleurs des outils tiers reconnus tels que HexKiller, ThrottleBlood et HavocKiller. Selon Jakub Souček, chercheur chez Eset, « en fournissant ces outils aux affiliés, ils facilitent l'accès à ces outils pour les affiliés moins expérimentés, qui, en plus du logiciel de chiffrement, reçoivent tout le nécessaire pour mener des intrusions. Cela élargit naturellement le vivier d'affiliés et permet un déploiement cohérent du logiciel de chiffrement. »

La technique du Byovd monte en puissance

Le framework GentleKiller comprend des capacités de Byovd (bring your own vulnerable driver). Elles donnent la possibilité d’obtenir des privilèges au niveau du noyau après le chargement d’un pilote vulnérable en mémoire. Cette technologie était fournie avec des solutions de contournement pour 400 processus EDR provenant de 48 fournisseurs différents. Là encore, cette technique n’est pas nouvelle avec une étude de Trellix en 2024 qui mettait en évidence cette faiblesse. Un autre rapport récent de Huntress signale un cas où le Byovd a servi pour charger et cibler un ancien pilote vulnérable afin de neutraliser les défenses EDR.

Pour se prémunir contre ce problème, les entreprises devraient mettre en œuvre des protections telles que l'intégrité de la mémoire protégée par l'hyperviseur (HVCI) et la protection du code au niveau du noyau (KMCI) rendant plus difficile le chargement de pilotes anciens ou non sécurisés, explique Jakub Souček. Il ajoute, « les sociétés devraient également appliquer des politiques strictes d'autorisation et de blocage des pilotes, notamment via des règles personnalisées adaptées à leur structure, auditer et supprimer en permanence les pilotes inutiles, et s'assurer que les pilotes vulnérables sont mis à jour ou éliminés. Empêcher l'installation de tels pilotes rend le dispositif anti-ERR inoffensif ».