ESET s’attaque avec force aux EDR Killers

Menace des groupes de rançongiciels

Face à une nouvelle réalité, ESET a augmenté la force de l’équipe dédiée à l’étude des rançongiciels « on observe un rapprochement des éditeurs de rançongiciels et des affiliés qui vont utiliser plusieurs éditeurs de rançongiciels pour maximiser leurs gains et leurs chances de faire des victimes. ».

C’est un fait, l’offre de services des éditeurs de rançongiciels augmente. S’il y avait déjà eu un premier aperçu (Conti), aujourd’hui la nouveauté est l’EDR Killer pour faciliter les intrusions. La raison est simple « les entreprises ont augmenté leur maturité, elles ont adopté massivement des EDR, les attaquants se sont mis donc à attaquer les EDR ».

Côté technologie, au départ les cybercriminels se servaient en dehors du pack d’affiliés rançongiciels, à l’extérieur par leurs propres moyens pour trouver les EDR Killer, aujourd’hui c’est tout simplement inclus dans l’offre des éditeurs de rançongiciels. « Ces EDR Killer ont donc une partie installation sous Windows et une partie qui tape le noyau Windows. Pour cela, ils utilisent un driver légitime mais vulnérable ». Le driver semble être légitime par les systèmes de détection mais une fois rechargé, la vulnérabilité est utilisée pour taper les processus des différents EDR.

Pour s’en protéger, il faut prévenir au maximum l’intrusion de ces acteurs, et sélectionner (sur liste) quels sont les drivers légitimes mais vulnérables utilisés par ces EDR Killer et les blacklister. ESET propose par ailleurs ces listes.

Focus RansomHub et son outil EDRKillShifter

A noter que ESET a analysé l’écosystème des ransomwares, notamment RansomHub et son modèle de vente de service de rançongiciel (Ransomware as a Service). Ce gang de RaaS se place en tête des fournisseurs de logiciels malveillants chiffrant et services associés.

Des liens sont révélés entre RansomHub et les gangs Play, Medusa et BianLian, mettant en évidence EDRKillShifter, outil développé par RansomHub pour contourner les systèmes de détection et réponse des endpoints (EDR).

Règlementation & Pénurie de talents

Côté pénurie de talents « le renseignement sur la cybermenace permet d’anticiper, et la mutualisation de ressources, dans la sphère étatique et la sphère privée, de temporiser l’aspiration que vont créer NIS2 ou DORA par exemple ».

La pénurie d’analystes est réelle. Un certain nombre de structures vont penser être conformes à NIS2 « mais attention aux solutions tout en un pour NIS2 ». Audit, gouvernance, mise en opération « dans ces opérations, autant de tâches pour lesquelles il faut piloter la cybersécurité et la superviser. C’est bien à ce moment qu’il faut des ressources capables de faire du niveau 1, niveau 2 et niveau 3 et de comprendre les signaux faibles liés à des attaques et non ceux liés à de la maintenance. Les discussions entre les équipes sont donc cruciales ».

Plus de 10 000 analystes vont cruellement manquer pour bien comprendre la menace et faire en sorte de protéger l’entreprise au moment où l’attaque survient. « On parle bien de la supervision des infrastructures avant tout ».

Si on revient sur NIS2 ? Il ne faut absolument pas négliger le sujet. Il faudra se déclarer conforme donc être conscient de son existence. Si le site de l’ANSSI œuvre en ce sens, « ESET mène une série de campagnes de sensibilisation et de formation à NIS2 auprès des clients susceptibles d’être impactés par cette règlementation. Les donneurs d’ordre doivent aussi prendre leur part de responsabilité pour protéger leur écosystème ». Les campus cyber et les prestataires informatiques ont sans doute un rôle à jouer dans cette prise de conscience globale.

Et la sécurité des PME ?

Pour Benoit Grünemwald, la nécessité de la mutualisation de la supervision est essentielle. « L’enjeu des PME est de passer à un niveau supérieur avec supervision. Pour cela, il faut se faire accompagner et dépenser judicieusement et efficacement  ». 

Si les PME recherchent plus de souveraineté, ces critères semblent être de plus en plus mis en avant « qui a accès à mes données ? où sont stockées mes données ? y a-t-il une souveraineté stratégique pour mes données ? ». Les PME sont prêtes à investir plus « le taux de croissance entre les solutions traditionnelles et les solutions managées est en hausse ».

Un mot sur la Cyber Threat Intelligence

Dès qu’on évoque le sujet du renseignement sur la menace, on le sait, il est au cœur de toutes les discussions, « nous avons ouvert notre catalogue à plus de flux, plus d’éléments techniques qui permettent de savoir qui sont les attaquants et comment ils attaquent. Les flux sont plus nourris et concrets pour les entreprises qui cherchent à se protéger ».

En complément, ESET a ouvert des rapports à destination de grosses PME et ETI pour démocratiser le renseignement sur la menace. Les prestataires informatiques peuvent faire l’interface entre les entreprises non matures pour utiliser elles-mêmes cette CTI.