État des lieux en 2025
Le paysage mondial de la cybersécurité est bouleversé : les ransomwares ne se contentent plus de contourner les solutions classiques de protection des endpoints (postes, serveurs), ils ciblent et détruisent méthodiquement ces défenses. Les principaux groupes de ransomwares utilisent maintenant des outils sur-mesure, détournent des logiciels légitimes et exploitent des vulnérabilités au niveau kernel, rendant obsolètes de nombreuses solutions EDR/antivirus « traditionnelles ».
Méthodes d’attaque des ransomwares 2025
Neutralisation des EDR au niveau kernel : Modules « EDR killer » capables de désactiver même les protections fonctionnant dans le noyau Windows.
Exemple : Crypto24 exploite une version adaptée de RealBlindingEDR pour désactiver Sophos, Trend Micro, Kaspersky, SentinelOne, Bitdefender, Symantec, Fortinet, Cisco, Citrix…
L’inspection et la désactivation des drivers exposent à une compromission totale.
Abus de logiciels légitimes (Living off the Land) : Utilisation d’outils natifs Windows ou commerciaux pour supprimer/désinstaller à distance les protections, une fois les privilèges élevés obtenus.
gpscript.exe, HRSword et Cobalt Strike sont massivement détournés.
Attaques BYOVD (Bring Your Own Vulnerable Driver) : Installation de drivers Windows vulnérables signés (via outils comme EDRKillShifter), offrant un accès kernel pour tuer les protections.
Mouvement latéral rapide : Après compromission des endpoints, extension vers Kubernetes, Cloud, API internes et chiffre/vol massif de données.
Outils et solutions impactés (exemples)
| Outil/Solution | Ransomwares impliqués | Technique de neutralisation |
|---|---|---|
| Sophos, Trend Micro, Kaspersky, SentinelOne, Bitdefender, Symantec, Fortinet, Cisco, Citrix | Crypto24, Qilin, Medusa, RansomHub, autres | EDR Killers Windows kernel, BYOVD, uninstallers, détournement d’outils |
| Cylance, ESET, McAfee, F-Secure, Defender | RansomHub, Medusa, autres | BYOVD, custom EDR killers |
| HRSword, gpscript.exe | Crypto24, Qilin, autres | Désactivation/suppression à distance |
| Drivers vulnérables Windows | RansomHub, Play, Medusa | Installation de drivers signés pour tuer l’EDR |
Focus sur BSD : le bastion résistant
Contrairement à Windows et Linux, les systèmes BSD (OpenBSD, FreeBSD, NetBSD...) enregistrent en 2025 très peu de compromissions documentées. Cela s’explique par :
Permissions kernel très granulaires : limitations par défaut, peu de drivers tiers.
Surface d’attaque réduite en entreprise : BSD minoritaire, moins ciblé par les ransomwares.
Réactivité communautaire : patchs rapides, architecture sobre.
À ce jour, aucune attaque utilisant des EDR killers au niveau kernel n’a été officiellement constatée ou documentée sur BSD, ce qui en fait un atout de robustesse face aux ransomwares ciblant endpoints d’entreprise.
Recommandations
Segmenter le réseau pour limiter le mouvement latéral.
Zero Trust, surveillance réseau, sauvegardes offlines et audits continus.
Favoriser les environnements BSD quand pertinent, en maintenant un patch management rigoureux.
Former et sensibiliser les équipes sur les nouvelles menaces et outils détournés.
Texte inspiré, enrichi et mis à jour d’après les tendances 2025 et conseils de sécurité majeurs.
Pour approfondir :
The Register : “Ransomware crews don’t care about your EDR”
The Hacker News : “Charon Ransomware Hits Middle East Sectors Using APT-Level Evasion Tactics”