Les acteurs malveillants derrière le rançongiciel Medusa exploitent désormais une nouvelle technique pour contourner les solutions de cybersécurité. En utilisant un driver malveillant baptisé ABYSSWORKER, ils désactivent les outils de protection anti-malware et EDR. Cette attaque, identifiée par Elastic Security Labs, repose sur la stratégie BYOVD (Bring Your Own Vulnerable Driver), qui permet aux cybercriminels d’exploiter des pilotes vulnérables pour obtenir des privilèges élevés. Découvrez comment ce ransomware fonctionne et pourquoi il représente une menace croissante pour les entreprises et les particuliers.
Un driver malveillant exploité pour désactiver la cybersécurité
Une attaque BYOVD sophistiquée
Les chercheurs en cybersécurité de Elastic Security Labs ont observé une attaque utilisant un loader spécifique pour déployer le rançongiciel Medusa. Ce loader est protégé par un service de packer appelé HeartCrypt, rendant son détection plus difficile.
Ce loader est accompagné d’un driver signé avec un certificat révoqué provenant d’un fournisseur chinois. Identifié sous le nom d’ABYSSWORKER, ce fichier baptisé « smuol.sys » imite un driver légitime de CrowdStrike Falcon (« CSAgent.sys ») afin de contourner les mesures de détection antivirus et EDR.
Des certificats volés pour tromper les solutions de protection
Ce qui rend cette attaque particulièrement dangereuse est l’utilisation de certificats numériques volés et révoqués. Cela permet au malware de passer sous le radar en apparaissant comme un programme légitime. Des dizaines d’artefacts liés à ABYSSWORKER ont été identifiés sur VirusTotal entre août 2024 et février 2025, prouvant une exploitation active de cette méthode.
Une menace similaire avait déjà été documentée en janvier 2025 par ConnectWise sous le nom « nbwdv.sys ». Ces techniques démontrent que les attaquants cherchent constamment à contourner les mécanismes de protection des entreprises grâce à des outils furtifs.
Comment fonctionne le driver ABYSSWORKER ?
Des capacités avancées de manipulation
Une fois exécuté, le driver ABYSSWORKER ajoute le processus malveillant à une liste de processus protégés pour éviter toute interférence. Il resta à l’écoute des requêtes d’entrées/sorties (I/O Control Requests) et les redirige vers les gestionnaires appropriés à l’aide de codes de contrôle spécifiques.
Parmi ces codes de contrôle, certains permettent des actions critiques :
- 0x222080 – Activation du driver en envoyant un mot de passe spécifique.
- 0x222144 – Arrêt de processus ciblés via leur ID.
- 0x222400 – Suppression des notifications de sécurité, rendant aveugles les solutions de détection d’intrusions.
- 0x222664 – Redémarrage du système involontairement.
Certains codes sont particulièrement préoccupants, notamment celui utilisé pour désactiver les protections EDR, une technique similaire à des outils connus comme EDRSandBlast et RealBlindingEDR.
Un risque accru pour les entreprises
Les solutions de cybersécurité sont mises à rude épreuve face à ces nouvelles menaces. Le fait que ces drivers malveillants possèdent des certificats légitimes permet aux attaquants de pénétrer plus facilement des systèmes protégés.
Cet incident rappelle également une autre campagne récente, où des attaquants ont exploité un driver vulnérable de l’antivirus ZoneAlarm pour obtenir un accès privilégié et désactiver les protections Windows. Des techniques similaires permettent aux hackers de contourner les barrières de sécurité et de maintenir un accès persistant via le RDP (Remote Desktop Protocol).
Le lien avec les autres rançongiciels en circulation
Une montée en puissance des rançongiciels personnalisés
Dans un contexte où les cyberattaques utilisant des outils avancés se multiplient, une autre menace se démarque : la campagne du groupe RansomHub. Les experts ont identifié l’utilisation d’un malware multifonctions nommé Betruger servant d’étape préparatoire pour les attaques par rançongiciel.
Ce logiciel malveillant intègre des fonctionnalités comme :
- La capture d’écran et l’enregistrement de l’activité clavier.
- L’analyse du réseau et l’élévation de privilèges.
- Le vol de mots de passe et d’identifiants stockés.
Son but est d’exfiltrer des données avant le chiffrement, renforçant l’impact financier et stratégique d’une attaque.
La nécessité de formations et d’outils adaptés
Face à la montée des techniques avancées des attaquants, comprendre le fonctionnement des cybermenaces devient incontournable pour les professionnels et passionnés de sécurité informatique. Pour mieux anticiper ces risques, il est utile d’étudier les techniques des hackers à travers des ressources dédiées comme un livre pour hacker.
Acquérir des compétences en hacking éthique et en cybersécurité offensive permet d’améliorer sa posture de défense et d’adopter une approche proactive face aux nouvelles menaces.
Renforcez vos protections contre les nouvelles menaces
Alors que les cybercriminels développent des techniques toujours plus sophistiquées, il devient essentiel pour les entreprises de sécuriser leurs infrastructures. Pour protéger votre organisation contre ces attaques, CyberCare propose des solutions avancées de protection antivirus, de surveillance EDR et de réponse aux incidents.
