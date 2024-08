Attention ! Ce malware redoutable désactive vos antivirus et s’empare de vos données en une seconde

Les cyberattaques continuent de se perfectionner et un nouveau malware baptisé EDRKillShifter vient de faire son apparition. Ce malware menace la cybersécurité en désactivant les antivirus du système. Les entreprises sont vulnérables aux attaques de ransomware. Les experts recommandent des mesures de protection renforcées.

Ce logiciel malveillant, détecté récemment par les experts de la cybersécurité de Sophos, pose une menace particulière. En désactivant les programmes de protection les plus avancés, il permet aux attaques de type ransomware de se développer et met en danger les infrastructures informatiques des entreprises et des particuliers.

Une nouvelle menace inquiétante

EDRKillShifter, un malware particulièrement sophistiqué, est désormais associé à des cyberattaques. Ce malware a été lié à un groupe de ransomware connu sous le nom de RansomHub. Cependant, les experts de Sophos restent prudents. Ils suggèrent que plusieurs cybercriminels pourraient avoir accès à cet outil et le mettre en vente sur le dark web.

EDRKillShifter est plus qu'un virus. En neutralisant les antivirus, il ouvre la voie à des attaques de grande envergure, notamment le chiffrement de données et le chantage aux rançons. Les entreprises et particuliers qui pensaient être protégés par leurs antivirus traditionnels pourraient rapidement déchanter face à cette nouvelle menace.

La particularité d'EDRKillShifter réside dans sa manière de procéder. Lors de l'analyse réalisée par Sophos, le malware a été utilisé pour tenter de désactiver le programme de protection de l'entreprise, mais fort heureusement, cette tentative a échoué. Cependant, cet échec ne doit pas masquer le danger réel que représente cet outil.

Le fonctionnement d'EDRKillShifter s'appuie sur une technique connue sous le nom de « Bring Your Own Vulnerable Driver ». Cette méthode consiste à injecter un ancien pilote dans le système ciblé. Ce pilote, bien que légitime, contient des failles de sécurité que les cybercriminels peuvent exploiter.

Le système d'exploitation, en acceptant ce pilote vulnérable, devient alors une porte d'entrée pour les attaques malveillantes. À partir de là, les pirates peuvent introduire des logiciels malveillants et prendre le contrôle du système. Sophos précise qu'EDRKillShifter est capable de déployer plusieurs types de pilotes en fonction des besoins des attaquants. C'est cette flexibilité qui en fait une arme redoutable dans les mains des cybercriminels.

Des recommandations pour se protéger

Face à cette nouvelle menace, les experts en cybersécurité de Sophos appellent à une vigilance renforcée. La première mesure de défense recommandée consiste à vérifier que les solutions de sécurité pour terminaux incluent une protection contre les altérations. Cette fonctionnalité est essentielle pour prévenir les désactivations malveillantes de programmes antivirus.

Sophos insiste également sur l'importance d'une bonne hygiène des rôles de sécurité dans les systèmes Windows. L'attaque avec EDRKillShifter ne peut réussir que si l'attaquant parvient à augmenter ses privilèges ou à obtenir les droits d'administrateur sur la machine cible. Adopter des règles strictes en matière de gestion des privilèges constitue donc une première barrière efficace.

De plus, maintenir les systèmes à jour est une mesure incontournable. Microsoft a récemment entrepris de décertifier les anciens pilotes signés. Cela réduit les possibilités d'exploitation de failles par des pilotes obsolètes. En appliquant ces mises à jour, les entreprises peuvent réduire considérablement les risques associés à l'utilisation d'EDRKillShifter.

Une menace en évolution constante

EDRKillShifter n'est probablement que le début d'une série d'outils similaires, capables de contourner les défenses numériques les plus robustes. Les cybercriminels ne cessent d'améliorer leurs techniques et les entreprises doivent donc redoubler d'efforts pour se protéger.

Les solutions EDR traditionnelles, bien qu'efficaces, ne sont pas infaillibles. Cette nouvelle génération de malware, en particulier EDRKillShifter, prouve que les attaquants ne reculent devant rien pour infiltrer les systèmes.

La montée en puissance d'EDRKillShifter met en lumière les défis croissants auxquels sont confrontées les entreprises et les particuliers dans la lutte contre les cyberattaques. Alors que les menaces se multiplient et se diversifient, la seule réponse viable réside dans la vigilance constante, la mise à jour régulière des systèmes et l'adoption de stratégies de sécurité renforcées. Si le ransomware reste une menace tangible, il est impératif que les organisations prennent des mesures proactives pour se défendre contre cette nouvelle vague d'attaques.

