DeadLock

Contexte: Dans un article d’actualité, des chercheurs décrivent le mode opératoire du groupe DeadLock, actif depuis juillet 2025, et sa manière de rester discret tout en multipliant les attaques. — Profil et discrétion — Le groupe DeadLock, repéré pour la première fois en juillet 2025, a attaqué un large éventail d’organisations tout en restant presque sous les radars. — Tactique d’extorsion — DeadLock rompt avec la double extorsion traditionnelle (vol de données, chiffrement des systèmes, puis menace de publication). Le groupe n’exploite pas de Data Leak Site (DLS) pour publiciser ses attaques. En l’absence d’un levier de dommage réputationnel en cas de non-paiement, il menace de vendre les données sur le marché souterrain — une stratégie que des experts ont déjà qualifiée de potentiellement « du vent ». ...

Cisco Talos (Threat Spotlight) publie une analyse d’une campagne de ransomware DeadLock menée par un acteur financier qui combine techniques BYOVD, scripts PowerShell et post-exploitation pour neutraliser la défense et chiffrer des environnements Windows. • Point clé: l’attaque s’appuie sur un Bring Your Own Vulnerable Driver (BYOVD) et un loader inédit pour exploiter la vulnérabilité CVE-2024-51324 du driver Baidu Antivirus (BdApiUtil.sys) afin de terminer des processus EDR au niveau noyau. Le driver légitime est déposé avec un loader (noms observés: “EDRGay.exe” et “DriverGay.sys”) dans le dossier “Videos”. Le loader ouvre un handle sur “\.\BdApiUtil” (CreateFile) puis envoie un IOCTL 0x800024b4 (fonction 0x92D) via DeviceIoControl, ce qui conduit le driver vulnérable à exécuter ZwTerminateProcess() sans vérification de privilèges. ...