Gentlemen : l’évolution des outils d’évasion des ransomwares face aux EDR

Une famille d’outils dédiés à l’évasion des EDR

Le groupe de ransomware Gentlemen, actif sous forme de RaaS (Ransomware-as-a-Service), a développé une suite d’outils spécifiquement conçus pour neutraliser les solutions de détection et de réponse sur endpoints (EDR). Parmi ces outils, le plus documenté est GentleKiller, un utilitaire qui compte aujourd’hui au moins huit variantes. Ces dernières se font passer pour des logiciels légitimes, notamment Kaspersky, Valorant, Javelin ou WatchDog, afin de tromper les systèmes de sécurité.

Chaque variante de GentleKiller exploite une technique appelée « bring your own vulnerable driver » (BYOVD), qui consiste à charger un pilote vulnérable pour élever les privilèges et désactiver les moteurs de sécurité au niveau du noyau. Cette méthode permet aux attaquants de contourner les protections avant même que l’attaque principale ne soit lancée. Les outils ciblent des centaines de processus associés à plus de quarante-huit éditeurs de solutions de sécurité, dont Microsoft, CrowdStrike, SentinelOne, Palo Alto, Sophos, Trend Micro, ESET, Bitdefender, McAfee/Trellix et Kaspersky.

Une architecture modulaire et évolutive

L’analyse des variantes de GentleKiller révèle une conception modulaire, conçue pour faciliter l’intégration de nouveaux pilotes vulnérables ou l’adaptation à des failles récemment découvertes. Les attaquants peuvent ainsi remplacer les pilotes sans modifier substantiellement le code principal, ce qui rend l’outil plus difficile à détecter et à bloquer. Les variantes partagent des chaînes de caractères communes, des techniques d’obfuscation de code similaires, ainsi que des logiques de ciblage et d’élimination de processus identiques.

Les binaires de GentleKiller sont protégés par des outils commerciaux de packing et d’obfuscation, tels qu’Enigma et Themida. Ces protections rendent l’analyse statique plus complexe pour les solutions de sécurité, qui peinent à identifier la nature malveillante des fichiers avant leur exécution. De plus, les attaquants utilisent des signatures numériques volées à des logiciels légitimes, bien que celles-ci soient généralement invalides ou révoquées, ce qui complique encore la détection par les systèmes basés sur la réputation des fichiers.

Des outils externes pour une redondance stratégique

Outre GentleKiller, le groupe Gentlemen utilise au moins trois autres outils externes d’élimination des EDR. Ces outils pourraient être intégrés pour des raisons de redondance, afin de diversifier les méthodes d’attaque et de compliquer l’attribution des intrusions. Leur utilisation pourrait également être réservée à des cas spécifiques où GentleKiller ne serait pas efficace, par exemple face à des configurations de sécurité particulièrement robustes ou à des versions mises à jour des EDR.

L’ajout de ces outils externes suggère une stratégie délibérée de l’opérateur du RaaS pour maximiser les chances de succès de ses affiliés. En diversifiant les méthodes de contournement des protections, le groupe réduit la dépendance à un seul outil et augmente la résilience de ses attaques. Cette approche reflète une tendance croissante parmi les groupes de ransomware, qui cherchent à automatiser et à industrialiser leurs méthodes pour maximiser leurs profits.

Un ciblage large et une menace généralisée

GentleKiller et ses variantes ciblent plus de 400 processus associés à près de 48 éditeurs de solutions de sécurité. Cette liste inclut des acteurs majeurs du marché, ce qui indique que le groupe ne se limite pas à un seul fournisseur de sécurité, mais cherche à neutraliser les protections quelle que soit la solution déployée. Parmi les cibles figurent des solutions EDR, des antivirus, des outils de détection des intrusions (IDS) et des plateformes de gestion centralisée des endpoints.

Le choix de cibler autant de processus et de solutions reflète une volonté de maximiser l’impact des attaques. En désactivant les protections, les attaquants s’assurent que leurs activités malveillantes, qu’il s’agisse de vol de données ou de chiffrement, peuvent se dérouler sans interruption. Cette approche est particulièrement efficace dans les attaques de ransomware, où la fenêtre de temps entre l’intrusion initiale et l’exécution du chiffrement est cruciale pour le succès de l’opération.

Des techniques d’obfuscation et de furtivité avancées

Les variantes de GentleKiller utilisent des techniques d’obfuscation de code avancées pour échapper à la détection. Les outils commerciaux comme Enigma et Themida sont conçus pour rendre l’analyse statique plus difficile, en masquant les chaînes de caractères sensibles et en compliquant la compréhension du flux d’exécution. Cette approche permet aux attaquants de contourner les systèmes de détection basés sur les signatures ou les règles statiques.

De plus, l’utilisation de signatures numériques volées ajoute une couche de complexité. Bien que ces signatures soient généralement invalides ou révoquées, elles peuvent tromper temporairement les systèmes de réputation des fichiers, retardant ainsi la détection. Cette technique est particulièrement efficace contre les solutions de sécurité qui s’appuient sur des bases de données de fichiers connus pour déterminer leur légitimité.

Une menace en constante évolution

L’évolution rapide des outils comme GentleKiller montre que les groupes de ransomware adaptent leurs méthodes pour contourner les protections modernes. Les attaquants ne se contentent plus d’exploiter des vulnérabilités logicielles, mais développent des outils dédiés pour neutraliser les défenses en temps réel. Cette tendance souligne l’importance pour les entreprises de ne pas se reposer uniquement sur des solutions de sécurité statiques, mais de mettre en place des stratégies de détection et de réponse dynamiques.

Les outils comme GentleKiller illustrent également l’émergence d’un écosystème criminel spécialisé, où des développeurs malveillants créent et vendent des outils d’attaque aux groupes de ransomware. Cette division du travail permet aux attaquants de se concentrer sur l’exécution des attaques, tandis que des experts en contournement des protections s’occupent de neutraliser les défenses.

Implications pour les entreprises et les éditeurs de sécurité

Pour les entreprises, la menace posée par GentleKiller et ses variantes est double. D’une part, elle souligne la nécessité de renforcer les défenses contre les attaques ciblant les pilotes vulnérables. Les solutions EDR doivent être capables de détecter et de bloquer les tentatives d’élévation de privilèges via des pilotes non signés ou vulnérables. D’autre part, cette menace met en lumière l’importance de la visibilité sur les endpoints : une détection précoce des activités suspectes, comme le chargement de pilotes inconnus, peut permettre de bloquer une attaque avant qu’elle ne prenne de l’ampleur.

Pour les éditeurs de solutions de sécurité, cette évolution représente un défi majeur. Les outils comme GentleKiller exploitent des failles connues dans les pilotes, mais leur détection nécessite une analyse comportementale approfondie. Les éditeurs doivent donc investir dans des solutions capables de détecter les anomalies dans le comportement des processus, plutôt que de se fier uniquement aux signatures ou aux listes de fichiers connus. De plus, la collaboration entre éditeurs pour partager des informations sur les nouvelles variantes et techniques d’attaque est essentielle pour rester en avance sur les attaquants.

Que faire pour se protéger ?

Face à cette menace, les entreprises doivent adopter une approche multicouche pour sécuriser leurs endpoints. Voici quelques mesures concrètes à mettre en place :

1. Renforcer la gestion des pilotes : Limiter l’installation de pilotes non signés ou vulnérables en appliquant des politiques strictes de gestion des pilotes. Les solutions EDR doivent être configurées pour bloquer le chargement de pilotes non approuvés.

2. Surveiller les activités suspectes : Déployer des outils de détection et de réponse (EDR/XDR) capables d’identifier les comportements anormaux, comme l’élévation de privilèges ou la désactivation de services de sécurité. Une détection précoce peut permettre de bloquer une attaque avant qu’elle ne cause des dommages.

3. Appliquer les correctifs de sécurité : Les vulnérabilités dans les pilotes sont souvent corrigées par les éditeurs. Il est donc crucial d’appliquer rapidement les correctifs de sécurité pour limiter les risques d’exploitation.

4. Sensibiliser les utilisateurs : Bien que les outils comme GentleKiller ciblent principalement les défenses techniques, les attaques de ransomware commencent souvent par une compromission initiale via des techniques d’ingénierie sociale. Sensibiliser les utilisateurs aux risques et aux bonnes pratiques de sécurité reste essentiel.

5. Collaborer avec les éditeurs de sécurité : Participer à des programmes de partage d’informations sur les menaces (threat intelligence) et collaborer avec les éditeurs pour obtenir des mises à jour et des correctifs adaptés aux nouvelles variantes d’outils malveillants.

Vers une nouvelle génération de ransomwares ?

L’évolution des outils comme GentleKiller marque un tournant dans la sophistication des attaques de ransomware. Les groupes criminels ne se contentent plus d’exploiter des vulnérabilités logicielles, mais développent des outils dédiés pour contourner les défenses modernes. Cette tendance suggère que les ransomwares pourraient devenir encore plus difficiles à détecter et à bloquer dans les années à venir.

Pour les entreprises, cela signifie qu’il est plus important que jamais d’adopter une approche proactive en matière de cybersécurité. Les solutions de sécurité doivent évoluer pour détecter non seulement les signatures malveillantes, mais aussi les comportements suspects et les anomalies dans les processus système. Les éditeurs de solutions de sécurité, quant à eux, doivent continuer à innover pour contrer ces nouvelles techniques d’attaque.

En fin de compte, la lutte contre les ransomwares comme Gentlemen ne se gagnera pas uniquement avec des outils, mais aussi avec une stratégie globale de cybersécurité, combinant détection, réponse, sensibilisation et collaboration. Les entreprises qui investissent dans ces domaines seront mieux armées pour faire face aux menaces de demain.