Byovd

Source: Cisco Talos — Dans une analyse technique, Talos détaille une campagne de ransomware DeadLock utilisant un loader BYOVD inédit pour exploiter la vulnérabilité du driver Baidu Antivirus (CVE-2024-51324), neutraliser les EDR, étendre l’accès puis chiffrer des systèmes Windows avec un algorithme maison. Exploitation BYOVD et évasion des défenses. L’acteur place un loader (« EDRGay.exe ») et le driver vulnérable de Baidu renommé (« DriverGay.sys ») dans le dossier Vidéos, initialise le périphérique « \.\BdApiUtil » et envoie un IOCTL 0x800024b4 (fonction 0x92D) pour forcer, en mode noyau, la terminaison des processus EDR (ZwTerminateProcess) sans vérification de privilèges — T1211: Exploitation for Defense Evasion. Cette étape désactive les défenses et élève les privilèges pour préparer le chiffrement. ...

Cisco Talos (Threat Spotlight) publie une analyse d’une campagne de ransomware DeadLock menée par un acteur financier qui combine techniques BYOVD, scripts PowerShell et post-exploitation pour neutraliser la défense et chiffrer des environnements Windows. • Point clé: l’attaque s’appuie sur un Bring Your Own Vulnerable Driver (BYOVD) et un loader inédit pour exploiter la vulnérabilité CVE-2024-51324 du driver Baidu Antivirus (BdApiUtil.sys) afin de terminer des processus EDR au niveau noyau. Le driver légitime est déposé avec un loader (noms observés: “EDRGay.exe” et “DriverGay.sys”) dans le dossier “Videos”. Le loader ouvre un handle sur “\.\BdApiUtil” (CreateFile) puis envoie un IOCTL 0x800024b4 (fonction 0x92D) via DeviceIoControl, ce qui conduit le driver vulnérable à exécuter ZwTerminateProcess() sans vérification de privilèges. ...

Selon Trend Micro, cette analyse détaille l’évolution et les techniques de DragonForce (Water Tambanakua), un ransomware-as-a-service qui a muté d’un usage des builders LockBit 3.0 en 2023 vers un modèle de « cartel » RaaS en 2025. Le groupe propose aux affiliés jusqu’à 80% des rançons et fournit des payloads multivariants pour Windows, Linux, ESXi et NAS, ainsi que des outils avancés dont des services d’analyse de données pour l’extorsion. Des liens avec Scattered Spider, RansomHub et d’autres acteurs sont évoqués, suggérant un écosystème complexe. 🐉 ...

Selon Trend Micro Research, une campagne sophistiquée d’Agenda (Qilin) combine des leurres de type faux CAPTCHA, l’abus d’outils RMM légitimes et des techniques BYOVD pour déployer et exécuter un binaire de ransomware Linux sur des hôtes Windows, contournant les contrôles et EDR centrés sur Windows. Depuis janvier 2025, 591 victimes dans 58 pays ont été affectées. L’intrusion commence par des pages de faux CAPTCHA hébergées sur l’infrastructure Cloudflare R2 distribuant des infostealers, suivies du déploiement de portes dérobées COROXY (proxies SOCKS) en multiples instances afin d’obfusquer le C2. Les attaquants ciblent ensuite de manière stratégique l’infrastructure de sauvegarde Veeam pour le vol d’identifiants via des scripts PowerShell contenant des charges Base64 et interrogeant plusieurs bases de données Veeam. ...

Selon le Counter Threat Unit (CTU), le groupe se présentant comme Warlock Group (suivi comme GOLD SALEM) mène depuis mars 2025 des intrusions suivies du déploiement du ransomware Warlock. Microsoft le piste sous l’appellation Storm-2603 et évoque avec « confiance modérée » une origine en Chine, une attribution que le CTU ne corrobore pas faute d’éléments suffisants. 🚨 Activité et victimologie. Le DLS (site de fuite sur Tor) de GOLD SALEM liste 60 victimes à la mi-septembre 2025, de petites entités jusqu’à de grands groupes, en Amérique du Nord, Europe et Amérique du Sud. Le groupe publie des données pour 19 victimes (32%) et affirme en avoir vendu pour 27 (45%), trois entrées ayant été retirées. Il a surtout évité Chine et Russie, mais a listé le 8 septembre une entreprise russe du secteur de l’ingénierie pour la production électrique, ce qui suggère une activité hors de cette juridiction. Le DLS est alimenté par vagues avec une date « countdown » à J+12/14, et inclut parfois des victimes déjà exposées par d’autres opérations ransomware, illustrant des accès revendus ou des compromissions répétées. ...

Source: Quarkslab (blog). Contexte: publication de recherche détaillant l’exploitation d’un pilote Lenovo vulnérable permettant une élévation locale de privilèges via techniques BYOVD et manipulations de registres MSR. L’analyse décrit des failles dans le pilote Windows de Lenovo LnvMSRIO.sys (CVE-2025-8061) permettant des opérations arbitraires de lecture/écriture de mémoire physique et la manipulation de registres MSR, ouvrant la voie à une exécution de code au niveau noyau et au vol du jeton SYSTEM. Les auteurs montrent comment des attaquants peuvent contourner des protections Windows telles que Driver Signature Enforcement (DSE), SMEP et SMAP via la technique Bring Your Own Vulnerable Driver (BYOVD). ...

Selon Binarly Research, une étude sur l’écosystème UEFI met en évidence une faiblesse systémique de Secure Boot: des modules signés, notamment des shells UEFI, peuvent être exploités pour contourner la vérification de signature et exécuter du code non signé au niveau firmware. Découverte clé: plus de 30 shells UEFI signés et approuvés chez de grands OEM créent des vecteurs d’attaque. L’analyse de 4 000 images firmware montre que les plateformes modernes font confiance à environ 1 500 modules signés en moyenne (certaines dépassent 4 000), élargissant fortement la surface d’attaque. Des centaines d’appareils de sept OEM sont concernés. 🔐 ...

Source: Check Point Research (CPR). CPR publie une analyse d’une campagne active attribuée à l’APT Silver Fox exploitant des drivers noyau signés mais vulnérables pour contourner les protections Windows et livrer le RAT ValleyRAT. • Les attaquants abusent de drivers basés sur le SDK Zemana Anti‑Malware, dont un driver WatchDog Antimalware non listé et signé Microsoft (amsdk.sys 1.0.600), pour l’arrêt arbitraire de processus (y compris PP/PPL) et la neutralisation d’EDR/AV sur Windows 10/11. Un second driver (ZAM.exe 3.0.0.000) sert la compatibilité legacy (Windows 7). Les échantillons sont des loaders tout‑en‑un avec anti‑analyse, drivers intégrés, logique de kill EDR/AV et un downloader ValleyRAT. ...

Les chercheurs de Kaspersky ont découvert un nouveau malware, surnommé AV killer, qui exploite le driver légitime ThrottleStop.sys pour désactiver les processus de sécurité en utilisant des techniques BYOVD (Bring Your Own Vulnerable Driver). Cette menace a été active depuis octobre 2024, ciblant principalement des victimes en Russie, Biélorussie, Kazakhstan, Ukraine et Brésil dans le cadre de campagnes de ransomware MedusaLocker. L’accès initial a été obtenu via des attaques RDP brute force, suivi par l’utilisation de Mimikatz pour l’extraction de crédentiels, permettant ensuite un mouvement latéral avant le déploiement de l’AV killer pour désactiver les défenses à travers le réseau. ...