Les acteurs de la menace associés aux opérations de ransomware **Qilin** et **Warlock** ont été observés utilisant la technique bring your own vulnerable driver (**BYOVD**) pour faire taire les outils de sécurité fonctionnant sur les hôtes compromis, selon les conclusions de **Cisco Talos** et **Trend Micro**. ### Le tueur d'EDR de Qilin Les attaques **Qilin** analysées par **Talos** ont été trouvées déployant une DLL malveillante nommée "msimg32.dll", qui initie une chaîne d'infection multi-étapes pour désactiver les solutions de détection et de réponse des points d'extrémité (EDR). La DLL, lancée via le chargement latéral de DLL, est capable de terminer plus de 300 pilotes EDR de presque tous les fournisseurs de sécurité sur le marché. "La première étape consiste en un chargeur PE responsable de la préparation de l'environnement d'exécution pour le composant tueur d'EDR", ont déclaré les chercheurs de **Talos** Takahiro Takeda et Holger Unterbrink. "Cette charge utile secondaire est intégrée dans le chargeur sous une forme chiffrée." Le chargeur de DLL implémente un ensemble de techniques pour échapper à la détection. Il neutralise les hooks en mode utilisateur, supprime les journaux d'événements Event Tracing for Windows (ETW) et prend des mesures pour dissimuler le flux de contrôle et les modèles d'invocation d'API. En conséquence, il permet à la charge utile principale du tueur d'EDR d'être déchiffrée, chargée et exécutée entièrement en mémoire tout en passant complètement inaperçue. Une fois lancé, le malware utilise deux pilotes : * rwdrv.sys, une version renommée de "ThrottleStop.sys" utilisée pour accéder à la mémoire physique du système et agir comme une couche d'accès matériel en mode noyau. * hlpdrv.sys, pour terminer les processus associés à plus de 300 pilotes EDR différents appartenant à diverses solutions de sécurité. Il convient de noter que les deux pilotes ont été utilisés dans le cadre d'attaques **BYOVD** menées en conjonction avec les intrusions de ransomware **Akira** et **Makop**. "Avant de charger le second pilote, le composant tueur d'EDR désenregistre les rappels de surveillance établis par l'EDR, garantissant que la terminaison des processus peut se dérouler sans interférence", a déclaré **Talos**. "Cela démontre les astuces sophistiquées que le malware utilise pour contourner ou désactiver complètement les fonctionnalités de protection EDR modernes sur les systèmes compromis." Selon les statistiques compilées par **CYFIRMA** et **Cynet**, **Qilin** est apparu comme le groupe de ransomware le plus actif ces derniers mois, revendiquant des centaines de victimes. Le groupe a été lié à 22 incidents sur 134 incidents de ransomware signalés au Japon en 2025, représentant 16,4 % de toutes les attaques.  "**Qilin** s'appuie principalement sur des identifiants volés pour obtenir un accès initial", a déclaré **Talos**. "Après avoir réussi à pénétrer dans un environnement cible, le groupe met un accent considérable sur les activités post-compromission, ce qui lui permet d'étendre méthodiquement son contrôle et de maximiser l'impact." Le fournisseur de cybersécurité a également noté que l'exécution du ransomware se produisait en moyenne environ six jours après la compromission initiale, soulignant la nécessité pour les organisations de détecter les activités malveillantes au plus tôt et d'empêcher le déploiement de ransomwares.  ### Techniques d'évasion de Warlock La divulgation intervient alors que le groupe de ransomware **Warlock** (alias Water Manaul) continue d'exploiter les serveurs **Microsoft** SharePoint non corrigés, tout en mettant à jour sa boîte à outils pour améliorer la persistance, le mouvement latéral et l'évasion de la défense. Cela inclut l'utilisation de **TightVNC** pour un contrôle persistant et un pilote **NSec** légitime mais vulnérable ("NSecKrnl.sys") dans une attaque **BYOVD** pour terminer les produits de sécurité au niveau du noyau, remplaçant le pilote "googleApiUtil64.sys" utilisé dans les campagnes précédentes. Ont également été observés lors de l'attaque **Warlock** en janvier 2026 les outils suivants : * **PsExec**, pour le mouvement latéral. * RDP Patcher, pour faciliter les sessions RDP concurrentes. * **Velociraptor**, pour le command-and-control (C2). * Visual Studio Code et **Cloudflare** Tunnel, pour le tunneling des communications C2. * **Yuze**, pour la pénétration de l'intranet et l'établissement d'une connexion proxy inverse vers le serveur C2 de l'attaquant via HTTP (port 80), HTTPS (port 443) et DNS (port 53). * Rclone, pour l'exfiltration de données. ### Stratégies d'atténuation Pour contrer les menaces **BYOVD**, il est recommandé de n'autoriser que les pilotes signés par des éditeurs explicitement approuvés, de surveiller les événements d'installation des pilotes et de maintenir un calendrier de gestion des correctifs rigoureux pour la mise à jour des logiciels de sécurité, en particulier ceux dotés de composants basés sur des pilotes qui pourraient être exploités. "La dépendance de **Warlock** aux pilotes vulnérables pour désactiver les contrôles de sécurité nécessite une défense multicouche axée sur l'intégrité du noyau", a déclaré **Trend Micro**. "Ainsi, les organisations doivent passer de la protection de base des points d'extrémité à l'application d'une gouvernance stricte des pilotes et à la surveillance en temps réel des activités au niveau du noyau."