BYOVD

🔍 Contexte Publié le 22 mars 2026 sur GitHub par l’utilisateur andreisss, cet article présente KslDump, un outil de recherche en sécurité offensif exploitant un driver kernel Microsoft Defender (KslD.sys) pour extraire des credentials depuis LSASS protégé par PPL (Protected Process Light), sans recourir à aucun code ou driver tiers. ⚙️ Mécanisme de la vulnérabilité Le driver KslD.sys est livré avec Microsoft Defender, signé Microsoft, et expose un objet device \\.\KslD accessible depuis l’espace utilisateur. Il accepte l’IOCTL 0x222044 avec plusieurs sous-commandes critiques : ...

🔍 Contexte Publié le 22 mars 2026 par Group-IB, ce rapport analyse en profondeur les tactiques, techniques et procédures (TTPs) du groupe The Gentlemen, une opération Ransomware-as-a-Service (RaaS) émergente composée d’environ 20 membres, anciennement connue sous le nom ArmCorp en tant qu’affilié de Qilin. 🧑‍💻 Origine et historique du groupe L’opération est administrée par un russophone utilisant le pseudonyme hastalamuerte. Le groupe s’est séparé de Qilin suite à un litige financier de 48 000 USD de commission non versée, rendu public le 22 juillet 2025 sur le forum RAMP. Un premier échantillon Windows du ransomware avait déjà été uploadé sur VirusTotal le 17 juillet 2025 (SHA256 : 51b9f246d6da85631131fcd1fabf0a67937d4bdde33625a44f7ee6a3a7baebd2), confirmant que le développement était en cours avant la rupture publique avec Qilin. Le DLS est devenu public début septembre 2025. ...

Trend Micro dissèque une attaque du groupe Warlock combinant mouvement latéral, tunneling multi-outils, BYOVD via NSecKrnl.sys et déploiement de ransomware par GPO. 🔍 Contexte Cet article publié le 21 mars 2026 par Trend Micro Research constitue une analyse technique approfondie d’une campagne d’attaque attribuée au groupe Warlock. Il documente une chaîne d’attaque complète allant de l’accès initial jusqu’au déploiement de ransomware à l’échelle du domaine Active Directory. 🚪 Accès initial et mouvement latéral Suivant l’accès initial, les acteurs de la menace ont réalisé un mouvement latéral extensif via des outils d’administration légitimes et de l’abus de credentials : ...

Source : S2W (TALON) — Dans « Inside the Ecosystem, Operations: DragonForce », S2W dresse un panorama technique et opérationnel du groupe ransomware DragonForce, actif depuis décembre 2023, en couvrant son cartel RaaS, son Data Leak Site (DLS), son panel affiliés, et l’évolution de ses binaires Windows et Linux. Le groupe a émergé avec des fuites de données sur BreachForums, en s’appuyant sur des éléments des codes sources LockBit 3.0 (LockBit Black) et Conti. Au 01/2026, le builder basé LockBit 3.0 n’est plus disponible. DragonForce promeut son écosystème via le service RansomBay et des offres différenciantes (p. ex. Harassment Calling, Data Analysis) pour élargir son influence RaaS. ...

Selon Security.com (Symantec and Carbon Black), une récente campagne de Black Basta se distingue par l’intégration d’un composant d’évasion (BYOVD) directement au sein du payload du rançongiciel, une approche rare pour cette famille et potentiellement en voie de généralisation. Le payload dépose un driver vulnérable NsecSoft NSecKrnl (CVE-2025-68947), crée un service NSecKrnl, puis exploite ce driver en mode noyau pour tuer des processus de sécurité (AV/EDR), avant de chiffrer les fichiers en leur apposant l’extension “.locked”. Sont visés notamment des processus Sophos, Symantec, Microsoft Defender (MsMpEng), CrowdStrike, Cybereason, Trend Micro, ESET et Avast. ...

Source: Huntress — Début février 2026, Huntress a répondu à une intrusion où des identifiants SonicWall SSLVPN compromis ont servi d’accès initial, avant le déploiement d’un « EDR killer » exploitant la technique de Bring Your Own Vulnerable Driver (BYOVD) via un driver EnCase (EnPortv.sys) signé mais révoqué, afin de tuer des processus de sécurité depuis le noyau. L’attaque a été interrompue avant une phase probable de rançongiciel. La télémétrie SonicWall ingérée par Huntress Managed SIEM a permis de reconstituer la chronologie: une tentative de connexion portail refusée depuis 193.160.216[.]221 a précédé d’une minute une authentification VPN réussie depuis 69.10.60[.]250. Une reconnaissance réseau agressive a suivi (ICMP ping sweeps, requêtes NetBIOS, activité SMB avec rafales >370 SYN/s). La corrélation SIEM–endpoint a facilité la détection, l’isolement des systèmes et des recommandations de remédiation (activer MFA sur les accès distants, revoir les logs VPN). ...

Selon l’enquête de Symantec et de la Carbon Black Threat Hunter Team, une nouvelle famille de ransomware baptisée Osiris a été observée lors d’une attaque en novembre 2025 visant un grand opérateur franchisé de restauration en Asie du Sud-Est. Bien qu’elle partage un nom avec une souche de 2016 liée à Locky, les chercheurs indiquent qu’il s’agit d’une famille totalement nouvelle sans lien établi avec l’ancienne. Faits saillants 🛑 Type d’attaque : Ransomware (nouvelle famille « Osiris ») Cible : opérateur franchisé majeur de la restauration, Asie du Sud-Est Attribution : développeurs et modèle RaaS non déterminés ; indices suggérant des liens possibles avec des acteurs liés au ransomware Inc Aspects techniques clés 🔧 ...

Source: Cisco Talos — Dans une analyse technique, Talos détaille une campagne de ransomware DeadLock utilisant un loader BYOVD inédit pour exploiter la vulnérabilité du driver Baidu Antivirus (CVE-2024-51324), neutraliser les EDR, étendre l’accès puis chiffrer des systèmes Windows avec un algorithme maison. Exploitation BYOVD et évasion des défenses. L’acteur place un loader (« EDRGay.exe ») et le driver vulnérable de Baidu renommé (« DriverGay.sys ») dans le dossier Vidéos, initialise le périphérique « \.\BdApiUtil » et envoie un IOCTL 0x800024b4 (fonction 0x92D) pour forcer, en mode noyau, la terminaison des processus EDR (ZwTerminateProcess) sans vérification de privilèges — T1211: Exploitation for Defense Evasion. Cette étape désactive les défenses et élève les privilèges pour préparer le chiffrement. ...

Cisco Talos (Threat Spotlight) publie une analyse d’une campagne de ransomware DeadLock menée par un acteur financier qui combine techniques BYOVD, scripts PowerShell et post-exploitation pour neutraliser la défense et chiffrer des environnements Windows. • Point clé: l’attaque s’appuie sur un Bring Your Own Vulnerable Driver (BYOVD) et un loader inédit pour exploiter la vulnérabilité CVE-2024-51324 du driver Baidu Antivirus (BdApiUtil.sys) afin de terminer des processus EDR au niveau noyau. Le driver légitime est déposé avec un loader (noms observés: “EDRGay.exe” et “DriverGay.sys”) dans le dossier “Videos”. Le loader ouvre un handle sur “\.\BdApiUtil” (CreateFile) puis envoie un IOCTL 0x800024b4 (fonction 0x92D) via DeviceIoControl, ce qui conduit le driver vulnérable à exécuter ZwTerminateProcess() sans vérification de privilèges. ...

Selon Trend Micro, cette analyse détaille l’évolution et les techniques de DragonForce (Water Tambanakua), un ransomware-as-a-service qui a muté d’un usage des builders LockBit 3.0 en 2023 vers un modèle de « cartel » RaaS en 2025. Le groupe propose aux affiliés jusqu’à 80% des rançons et fournit des payloads multivariants pour Windows, Linux, ESXi et NAS, ainsi que des outils avancés dont des services d’analyse de données pour l’extorsion. Des liens avec Scattered Spider, RansomHub et d’autres acteurs sont évoqués, suggérant un écosystème complexe. 🐉 ...