Cisco Talos (Threat Spotlight) publie une analyse d’une campagne de ransomware DeadLock menée par un acteur financier qui combine techniques BYOVD, scripts PowerShell et post-exploitation pour neutraliser la défense et chiffrer des environnements Windows.

• Point clé: l’attaque s’appuie sur un Bring Your Own Vulnerable Driver (BYOVD) et un loader inédit pour exploiter la vulnérabilité CVE-2024-51324 du driver Baidu Antivirus (BdApiUtil.sys) afin de terminer des processus EDR au niveau noyau. Le driver légitime est déposé avec un loader (noms observés: “EDRGay.exe” et “DriverGay.sys”) dans le dossier “Videos”. Le loader ouvre un handle sur “\.\BdApiUtil” (CreateFile) puis envoie un IOCTL 0x800024b4 (fonction 0x92D) via DeviceIoControl, ce qui conduit le driver vulnérable à exécuter ZwTerminateProcess() sans vérification de privilèges.

• Préparation par script: un script PowerShell est lancé avant le chiffrement pour bypasser l’UAC (fonction Test-Admin avec élévation RunAs et override “exec bypass”), désactiver Windows Defender, stopper et désactiver de nombreux services (avec liste d’exclusions pour garder le système fonctionnel), supprimer toutes les shadow copies et s’auto-supprimer pour entraver la forensique. Des commandes désactivées existent pour supprimer des partages réseau (WMI) dont print$ / prnproc$, tuer des PIDs par alternative, et modifier la configuration de démarrage des services. Le script peut lire une liste d’exclusion externe (“run[.]txt”).

• Accès et mouvements: l’acteur aurait disposé d’un accès valide au réseau au moins cinq jours avant le chiffrement. Il active RDP en modifiant le registre (fDenyTSConnections=0), ouvre le port 3389 (netsh advfirewall), et active RemoteRegistry (sc config/start). Un jour avant l’événement, il installe AnyDesk en silence pour la persistance (démarrage auto, mot de passe unattended, mises à jour désactivées). La reconnaissance inclut nltest (contrôleurs de domaine, groupes), ping, quser, RDP (mstsc) et mmc.exe compmgmt.msc à distance, ainsi qu’un iexplore.exe pointant vers une ressource interne. La désecurisation complète passe par des commandes via SystemSettingsAdminFlows.exe pour désactiver RTP, la télémétrie cloud (SpynetReporting 0) et SubmitSamplesConsent 0.

• Ransomware DeadLock: actif depuis juillet 2025, écrit en C++, orienté Windows. Au lancement, il dépose un .cmd dans ProgramData (avec “chcp 65001”) pour relancer discrètement l’exécutable puis s’auto-supprimer. Il utilise process hollowing dans rundll32.exe. La configuration interne (8 888 octets, champs délimités par |) inclut notamment un seed numérique durci “10581067105910871088211520721049106420921068109010791065111492178193”, des paramètres de timing, des listes de processus/services à tuer et des extensions/chemins exclus. Le chiffrement repose sur un chiffrement en flux avec clés dépendantes du temps, et embarque des techniques d’anti-forensique. La “kill list” touche des utilitaires Windows et des cibles sensibles (accès distant: AnyDesk, RustDesk, mstsc; stockage cloud: Dropbox, OneDrive; sécurité: msmpeng, SecurityHealthService, SmartScreen).

• IOCs et TTPs observés:

  • IOCs/artefacts: fichiers/alias “EDRGay.exe”, “DriverGay.sys”, driver légitime “BdApiUtil.sys”, device “\.\BdApiUtil”, IOCTL 0x800024b4 (fonction 0x92D), fichier d’exclusions “run[.]txt”, script .cmd avec “chcp 65001”, injection dans rundll32.exe, clé/seed numérique intégrée, commandes AnyDesk (“C:\AnyDesk.exe –install C:\Program Files (x86)\AnyDesk –start-with-win –silent –update-disabled”, “… –start-service”, “… –set-password”, “… –control”), modifications registre pare-feu/RDP (fDenyTSConnections=0; règle “allow RemoteDesktop”).
  • TTPs (MITRE ATT&CK): T1211 (Exploitation pour l’évasion), T1548.002 (Bypass UAC), T1490 (Inhibition de la restauration), T1078 (Comptes valides), T1112 (Modification du registre), T1021.001 (RDP), T1562.004 (Pare-feu), T1569.002 (Exécution via service), T1219.002 (Logiciel d’accès distant), T1018 (Découverte systèmes distants), T1069.002 (Découverte domaine), T1033 (Découverte utilisateurs), T1046 (Découverte services réseau), T1218.014 (Proxy d’exécution: MMC), T1102 (Service web), T1562.001 (Désactivation/modification d’outils), T1218 (Proxy d’exécution système).

Type d’article: analyse de menace détaillant TTPs, artefacts et fonctionnement du loader BYOVD et de l’encryptor DeadLock.

🧠 TTPs et IOCs détectés

TTP

T1211, T1548.002, T1490, T1078, T1112, T1021.001, T1562.004, T1569.002, T1219.002, T1018, T1069.002, T1033, T1046, T1218.014, T1102, T1562.001, T1218

IOC

EDRGay.exe, DriverGay.sys, BdApiUtil.sys, \.\BdApiUtil, IOCTL 0x800024b4, run[.]txt, chcp 65001, rundll32.exe, C:\AnyDesk.exe –install C:\Program Files (x86)\AnyDesk –start-with-win –silent –update-disabled, … –start-service, … –set-password, … –control, fDenyTSConnections=0, allow RemoteDesktop

🔗 Source originale : https://blog.talosintelligence.com/byovd-loader-deadlock-ransomware/