Ransomware : la désactivation des EDR est désormais fréquente
Analyse technique
Techniques observées
Les campagnes contemporaines de ransomware ne se contentent plus de chiffrer des données : elles commencent par neutraliser les protections qui pourraient alerter les équipes de défense. La désactivation des solutions EDR est devenue un élément récurrent des playbooks observés sur le terrain, y compris dans des rapports de la presse spécialisée et des acteurs du secteur¹. Les attaquants exploitent des outils d'administration standards - PowerShell, WMIC, PsExec, outils de gestion à distance - pour arrêter des services, supprimer des fichiers d'agent ou modifier des entrées de démarrage, souvent sans déclencher d'alerte immédiate.
Dans plusieurs intrusions analysées, des commandes servant à arrêter un service EDR ou à supprimer son entrée de démarrage ont été exécutées depuis des comptes disposant de privilèges élevés. Les acteurs malveillants recourent aussi à la collecte de credentials avec des outils de type Mimikatz pour étendre leurs droits et exécuter des actions sur l'ensemble du parc. Ils effacent ensuite les traces : suppression de logs locaux, nettoyage des entrées d'audit, et modifications du registre liées aux agents de sécurité.
Il est utile de distinguer l'usage d'outils dits "living off the land" et l'utilisation de binaires signés illégalement ou de certificats volés. Quand un script est lancé avec une signature perçue comme légitime, la probabilité que l'opération échappe aux contrôles augmentera, car la chaîne de confiance est abusée.
Vecteurs d'attaque et chaînes d'intrusion
Les schémas d'attaque que l'on observe tiennent généralement en quatre étapes claires :
- Accès initial - Compromission via phishing, RDP exposé, ou services non corrigés.
- Reconnaissance et vol de credentials - Recherche des comptes à privilèges et récupération d'identifiants pour mouvement latéral.
- Neutralisation des défenses - Arrêt ou désactivation des agents de sécurité, manipulation de règles réseau et suppression de journaux.
- Déploiement et chiffrement - Lancement du ransomware à grande échelle après que la télémétrie a été réduite.
Cette progression montre que la neutralisation des EDR n'est pas un objectif secondaire : elle vise à rétrécir la fenêtre de détection et à accélérer l'étape de chiffrement. Les rapports d'acteurs de marché confirment que cette tactique est largement répandue et s'est banalisée dans plusieurs campagnes récentes² ³.
Mécanismes d'évasion et contournement
Les techniques d'évasion exploitent des erreurs de configuration et des faiblesses dans l'architecture :
- Agents déployés avec des droits excessifs ou exécutés par des comptes locaux avec trop de privilèges.
- Consoles d'administration accessibles sans authentification forte ou sans séparation claire des rôles.
- Absence de protection anti-tamper sur l'agent, ce qui permet à un administrateur compromis de stopper l'agent.
- Télémétrie centralisée sans canal de secours, laissant un attaquant capable de supprimer les journaux locaux et d'empêcher la remontée.
Ces conditions combinées rendent la compromission particulièrement rentable pour un attaquant, puisque l'effort nécessaire pour neutraliser la détection est faible comparé au gain opérationnel.
CVE et vecteurs logiciels fréquemment exploités
Dans les campagnes observées, les intrusions commencent souvent par des vecteurs classiques : failles d'authentification, services exposés, plugins et applications non mises à jour. La valeur ajoutée des acteurs malveillants tient moins à l'utilisation de zero-days qu'à l'exploitation efficace d'accès acquis et à l'abus d'outils légitimes pour les opérations internes. Les rapports consolidés du secteur montrent une forte corrélation entre exposition de services et compromissions ultérieures² ³.
Impacts business
Temps d'arrêt et interruption d'activité
Perdre la capacité de détection allonge mécaniquement le temps nécessaire pour identifier et contenir une attaque. Sans remontée fiable de télémétrie, les équipes voient leur fenêtre de réaction se réduire, ce qui augmente le périmètre touché et la durée des interruptions. Les coûts associés incluent la perte de production, l'indisponibilité de services critiques et la dégradation de la confiance des clients.
Coûts directs et indirects
Les coûts de remédiation dépassent souvent la simple restauration des données. Ils comprennent l'intervention d'équipes forensics, les frais juridiques et réglementaires, le recours à des prestataires de crise et la communication de crise. Les entreprises sans contrôles d'accès robustes et sans sauvegardes immuables s'exposent à des dépenses bien supérieures à celles d'une organisation préparée.
Risque juridique et conformité
Lorsque des solutions de sécurité sont neutralisées, la preuve de conformité devient plus difficile à établir. Les obligations de journalisation, de gestion des accès et de réponse aux incidents sont scrutées par les autorités et par des parties prenantes. Une incapacité à démontrer des contrôles appropriés peut mener à des sanctions ou à des obligations de notification étendues.
Exposition de la supply chain
La compromission d'un fournisseur pour atteindre ses clients est un scénario qui se répète. Une console d'administration tierce compromise peut servir de vecteur pour propager la désactivation des protections chez plusieurs organisations clientes. Ce risque impose des contrôles contractuels, des audits ciblés et des mesures d'isolement entre les environnements.
Recommandations
Gouvernance et gestion des accès
Appliquer le principe du moindre privilège pour tous les comptes, y compris les comptes de service et d'administration. Imposer l'authentification multifactorielle sur toutes les consoles d'administration et sur les accès distants. Auditer régulièrement les clés, certificats et comptes à privilèges, et mettre en place une rotation des secrets. L'utilisation de solutions comme LAPS pour les comptes locaux et la séparation stricte des rôles administratifs réduit le risque d'abus.
Durcissement des déploiements EDR
Ne considérer l'EDR que comme un composant parmi d'autres. Activer les protections anti-tamper, restreindre les permissions sur les services et définir des ACL de service qui empêchent l'arrêt par des comptes non autorisés. Appuyer la sécurité des agents par des contrôles système : règles d'application de code (AppLocker, WDAC), signatures de scripts et politiques de sécurité de groupe pour limiter les exécutions non approuvées. Prévoir une télémétrie redondante vers un stockage isolé et immuable afin que les logs critiques restent disponibles même si l'agent local est altéré.
Détection et réponse
Placer des règles qui repèrent les patterns liés au living off the land : exécutions atypiques de PowerShell, utilisation inhabituelle de WMIC, création d'entrées Run/RunOnce, et suppression ou vidage des journaux d'événements. Assurer l'ingestion de ces signaux dans un SIEM ou une plateforme de corrélation qui alerte sur des combinaisons de comportements plutôt que sur des événements isolés. Maintenir des playbooks d'incident testés couvrant isolement réseau, rotation de credentials, et basculement des services critiques.
Sauvegardes et plans de reprise
Conserver des sauvegardes immuables, hors ligne et testées régulièrement. Les sauvegardes doivent résister aux tentatives de suppression ou de chiffrement orchestrées par un attaquant ayant des privilèges élevés. Simuler des scénarios où les agents de sécurité sont hors service et valider la capacité de restauration et de reprise des opérations sans dépendance à la télémétrie compromise.
Audits et red-teaming
Programmer des exercices offensifs pour vérifier l'efficacité des contrôles, la configuration des agents et la robustesse des processus de réponse. Auditer les fournisseurs qui disposent d'accès administratifs et exiger des preuves de durcissement, des revues régulières des accès et des attestations de sécurité. Ces audits doivent porter sur les configurations, les journaux d'accès et les mécanismes de séparation d'environnement.
La perte ou la neutralisation d'un EDR doit être traitée comme un incident critique au même titre qu'une compromission initiale. En combinant durcissement technique, gouvernance stricte des accès et redondance de la télémétrie, une organisation réduit significativement la fenêtre d'opportunité pour un attaquant. Les rapports du secteur rappellent que la tactique de neutralisation des EDR est aujourd'hui fréquente, ce qui impose une réponse organisée et priorisée¹ ² ³.
