The Industrialization of EDR Evasion: A Core Pillar of Modern Ransomware Attacks

Modern ransomware campaigns increasingly rely on a standardized, ancillary toolset to ensure success. Attackers no longer focus solely on executing encryption or data exfiltration. Instead, a critical preliminary phase involves methodically dismantling endpoint detection and response (EDR) solutions, which have become a significant obstacle. This systematic neutralization of security tools is now a core, integrated step in the attack chain, embodied by a growing ecosystem of "EDR Killers"—industrialized, diverse, and increasingly AI-assisted tools.

Why Kill EDR Instead of Building Stealthier Ransomware?

The rationale is reliability. Mass file encryption is inherently noisy, and maintaining long-term stealth is complex and unsustainable. EDR Killers offer a more effective approach by creating a controlled execution window. This guarantees the final attack phase proceeds without alerting security teams, allowing operators to use simpler, more robust, and easily replaceable ransomware encryptors. Evasion now precedes and conditions the success of the ransomware payload.

A Rapidly Diversifying Technical Arsenal

Analysis of approximately 90 active tools reveals a fast-evolving landscape. The dominant technique remains Bring Your Own Vulnerable Driver (BYOVD), used by over fifty tools. This method involves installing legitimate but vulnerable drivers to gain kernel privileges and disable protections; thirty-five different drivers are currently being abused, often shared among multiple groups.

A grey area has developed around legitimate tools. Anti-rootkit software, designed for kernel-level intervention, is being repurposed to terminate protected processes, enabling less-technical affiliates to neutralize EDR agents.

A third, emerging approach is driverless evasion. Tools like EDRSilencer or EDR-Freeze paralyze detection without kernel interaction by blocking network communications or freezing security components. Their discretion makes detection significantly harder.

Some groups are taking more drastic operational steps. The Play ransomware group, for example, has moved beyond stopping EDR to completely eradicating security agents from disks, altering firewalls, and even cutting internet access.

Evasion-as-a-Service in the RaaS Economy

The Ransomware-as-a-Service model has driven specialization. Developers produce the ransomware, while affiliates operate the EDR Killers. This separation has spawned a dedicated market: evasion-as-a-service. Turnkey tools like DemoKiller, AbyssKiller, or CardSpaceKiller are sold on underground forums. They feature advanced obfuscation, commercial packers, encrypted drivers, and anti-analysis protections—all designed to lower the technical barrier and maximize success rates.

AI as an Accelerator

Artificial intelligence is beginning to influence this domain. While not always definitively attributable, its footprint is visible in some tools, notably within the Warlock gang, through the presence of generic LLM-like code, redundant structures, and scenario lists embedded in binaries. More concerningly, AI appears to facilitate automated trial-and-error mechanisms, where tools test various known devices or vectors until they find an exploitable configuration, partially replacing human expertise with assisted experimentation.

Complex Attribution and Strained Defenses

Attributing attacks based solely on a used driver is limiting. Components circulate between groups, change versions, and evolve. Focusing on an isolated artifact risks missing the broader reality of attack chains and the relationships between tools, affiliates, and infrastructure. Comprehensive Cyber Threat Intelligence is essential for effective incident response.

On the defense side, simply blocking vulnerable drivers, while necessary, is insufficient and often too late. It can also disrupt legitimate software. A broader response strategy is required:

* Reducing initial attack surfaces.

* Monitoring behaviors, including those of reputedly legitimate tools.

* Intercepting EDR Killers *before* any privilege escalation attempt.

* Ensuring backups are truly resilient, isolated, and tested.

* Closely monitoring the activities of security solutions themselves (SOC/MDR).

EDR Killers are no longer an exception. They have become central instruments for a mature, structured, and pragmatic cybercrime ecosystem. By exploiting the legitimacy of tools and digital signatures, they have shifted the battlefield. Detection must now focus on intent *before* defenses are permanently silenced.

*Benoit Grunemwald is a cybersecurity expert at ESET.*

Les campagnes de ransomware récentes s’appuient sur un outil annexe qui se généralise. Pour arriver à leurs fins, les groupes ne se contentent plus seulement d’exécuter un chiffrement ou une exfiltration de données, auparavant et pour assurer leur furtivité, ils s’attelaient à démanteler méthodiquement les dispositifs de défense.

Ainsi, la neutralisation des solutions EDR, dont l’essor gêne visiblement leurs opérations, est devenue une étape systématique, standardisée, intégrée au scénario d’attaque. Les « EDR Killers » incarnent cette évolution, un écosystème industrialisé, diversifié et en partie assisté par l’intelligence artificielle.

Tuer la détection avant de chiffrer ou d’exfiltrer

Pourquoi s’acharner à désactiver les EDR plutôt que de rendre les ransomwares furtifs ? Pour une raison simple, la fiabilité. Le chiffrement massif de fichiers est intrinsèquement bruyant. Le masquer durablement est complexe et non pérenne.

Les EDR Killers offrent une approche plus efficace. En créant une fenêtre d’exécution contrôlée, ils garantissent que la phase finale de l’attaque se déroule sans alerter les équipes sécurité. Les opérateurs peuvent ainsi conserver des chiffreurs simples, robustes et facilement remplaçables. L’évasion précède le rançongiciel et elle en conditionne le succès.

Un arsenal technique de plus en plus large

Nos travaux, fondés sur l’analyse d’environ 90 outils actifs, montrent une diversification rapide des techniques. Le BYOVD (Bring Your Own Vulnerable Driver) reste majoritaire, avec plus de cinquante outils exploitant ce principe. Il repose sur l’installation de pilotes légitimes mais vulnérables pour obtenir des privilèges noyau et désactiver les protections. Trente-cinq pilotes différents sont aujourd’hui abusés, souvent partagés par plusieurs groupes.

À côté, une zone grise s’est développée autour d’outils légitimes. Des anti-rootkits, conçus pour intervenir au niveau du noyau, sont détournés pour arrêter des processus protégés. Ils transforment des affiliés peu techniques en opérateurs capables de neutraliser des processus, dont des EDR.

Une troisième voie émerge, les approches sans pilote. Des outils comme EDRSilencer ou EDR-Freeze paralysent la détection sans toucher au noyau, en bloquant les communications réseau ou en gelant les composants de sécurité. Leur discrétion complique fortement la détection.

Enfin, certains groupes franchissent un cap opérationnel. Le groupe Play illustre cette évolution en opérant une suppression complète des agents de sécurité depuis le disque, l’altération des pare-feux voir des coupures de l’accès Internet. L’EDR n’est plus arrêté. Il est éradiqué.

L’évasion devient un produit

Dans l’économie du Ransomware-as-a-Service, les rôles se spécialisent. Les développeurs produisent le rançongiciel. Les affiliés opèrent les EDR Killers. Cette séparation a fait émerger un marché dédié : l’évasion en tant que service.

Des outils comme DemoKiller, AbyssKiller ou CardSpaceKiller sont vendus clés en main sur les forums clandestins. Obfuscation avancée, packers commerciaux, pilotes chiffrés, protections contre l’analyse, tout est conçu pour abaisser le niveau technique requis et maximiser le taux de réussite.

L’IA comme accélérateur

L’intelligence artificielle commence à influencer ces développements. Sans être toujours attribuable avec certitude, son empreinte apparaît dans certains outils, notamment au sein du gang Warlock. Présence de code générique typique des LLM, structures redondantes, listes de scénarios intégrées au binaire.

Plus préoccupant, l’IA semble faciliter des mécanismes d’essais automatisés. L’outil teste successivement différents périphériques ou vecteurs connus jusqu’à trouver une configuration exploitable. L’expertise humaine est partiellement remplacée par l’expérimentation assistée.

Attribution complexe et défense sous tension

Attribuer une attaque à partir d’un pilote utilisé est limitatif. Les mêmes composants circulent entre groupes, changent de version, évoluent à la marge. Se focaliser sur un artefact isolé c’est risquer de passer à côté de la réalité des chaînes d’attaque et des relations entre outils, affiliés et infrastructures. L’attribution de l’attaque est pourtant un maillon essentiel de la réponse à incident, pour la prendre dans son ensemble la Cyber Threat Intelligence est une alliée.

Côté défense, bloquer les pilotes vulnérables est nécessaire mais insuffisant. Cette mesure intervient souvent trop tard et peut perturber des logiciels légitimes. La réponse doit être plus large :

Réduire les surfaces d’entrée initiales.

Observer les comportements, y compris ceux d’outils réputés légitimes.

Intercepter l’EDR Killer en amont, avant toute tentative d’escalade.

Garantir des sauvegardes réellement résilientes, isolées et testées.

Surveiller les activités des solutions de sécurité (SOC / MDR…)

Les EDR Killers ne relèvent plus de l’exception. Ils sont devenus des instruments centraux d’une cybercriminalité mature, structurée, pragmatique. En exploitant la légitimité des outils et des signatures, ils déplacent le combat. La détection doit désormais viser l’intention, avant que les défenses ne soient réduites au silence.

*  Benoit Grunemwald, est expert en cybersécurité chez ESET

The post EDR Killers : l’évasion industrialisée, socle des attaques par ransomware appeared first on Silicon.fr.