Repéré dans un espace pirate russophone, ce « AV/EDR Killer » est proposé comme une solution clé en main pour désactiver ou supprimer des protections endpoint largement déployées. Et le discours commercial est limpide : efficacité, discrétion⊠et pilote signé Microsoft.
Quand la sécurité endpoint devient une option⊠payante
Le monde de la cybercriminalitĂ© adore les concepts simples. AprĂšs les ransomware-as-a-service, les initial access brokers et les kits de phishing prĂȘts Ă lâemploi, voici une nouvelle offre qui sâattaque directement au cĆur des dĂ©fenses dâentreprise : un outil prĂ©sentĂ© comme capable de neutraliser antivirus et EDR majeurs, vendu comme un produit presque banal.
Oui, rien que ça.
đïž Un malware prĂ©sentĂ© comme un produit « premium »
Lâannonce ne cherche pas Ă faire dans la dentelle. Elle adopte un ton quasi industriel, comme une fiche produit destinĂ©e Ă un service achats version cybercrime. Lâoutil est annoncĂ© comme compatible avec plusieurs solutions de sĂ©curitĂ© dâentreprise parmi les plus rĂ©pandues :
- SentinelOne
- Microsoft Defender for Endpoint
- Sophos
- ESET
- Trend Micro
- Avast
- Avira
Ce choix nâest Ă©videmment pas innocent. Il cible des solutions trĂšs prĂ©sentes dans les SOC, souvent dĂ©ployĂ©es Ă grande Ă©chelle, et supposĂ©es empĂȘcher prĂ©cisĂ©ment ce type dâattaque. Le message est clair : ce qui est censĂ© vous protĂ©ger peut ĂȘtre neutralisĂ©.
𧩠Le cĆur de la promesse : un pilote « signĂ© Microsoft »
Lâargument central du vendeur repose sur un Ă©lĂ©ment clĂ© : la prĂ©sence dâun driver signĂ© Microsoft, datĂ© de 2025. Pour un attaquant, câest le Graal.
Un pilote signé :
- bĂ©nĂ©ficie dâun niveau de confiance Ă©levĂ©Â cĂŽtĂ© systĂšme,
- peut interagir Ă bas niveau avec lâOS,
- complique fortement la détection comportementale,
- et rend lâanalyse forensique plus dĂ©licate.
En clair, si la promesse est tenue, lâoutil ne se contente pas dâĂ©teindre des alertes : il coupe la lumiĂšre Ă la source. Le vendeur affirme fournir le code, un builder pour gĂ©nĂ©rer des variantes, et des preuves de fonctionnement contre les solutions citĂ©es. Sans validation indĂ©pendante, Ă©videmment⊠mais suffisamment crĂ©dible pour sĂ©duire une clientĂšle malveillante en quĂȘte de fiabilitĂ©.
đž Un prix qui en dit long sur la cible
Lâoutil est vendu 3 000 dollars (environ 2 700 âŹ), avec prise de contact via TOX, une messagerie chiffrĂ©e largement utilisĂ©e dans les cercles clandestins.
Ce tarif nâest pas destinĂ© au script kiddie du dimanche. Il vise :
- des opérateurs de ransomware,
- des groupes organisés,
- ou des acteurs cherchant Ă industrialiser leurs intrusions.
Autrement dit, ceux pour qui dĂ©sactiver lâEDR nâest pas un bonus, mais une Ă©tape clĂ© du plan dâattaque.
đ„ Pourquoi ce type dâoutil est rĂ©ellement critique
Dans une attaque moderne, tant que lâEDR est actif, lâattaquant avance Ă pas feutrĂ©s. Chaque action est un risque : un appel API suspect, une Ă©lĂ©vation de privilĂšge mal maĂźtrisĂ©e, une persistance trop bruyante.
Mais le jour oĂč lâendpoint est aveuglĂ©, tout change :
- les mouvements latĂ©raux sâaccĂ©lĂšrent,
- les outils offensifs se multiplient,
- la persistance devient durable,
- et lâattaque passe de « discrĂšte » Ă Â industrielle.
Câest pour cette raison que les « AV/EDR killers » sont rĂ©guliĂšrement associĂ©s aux Ă©cosystĂšmes ransomware, mĂȘme sâils ne sont pas toujours dĂ©veloppĂ©s par les groupes eux-mĂȘmes.
đ§ Ce que cet Ă©pisode nous rappelle (encore)
Aussi sophistiquĂ© soit-il, un EDR nâest pas une armure magique. Ce type dâannonce rappelle plusieurs rĂ©alitĂ©s parfois inconfortables :
- la confiance accordĂ©e aux composants signĂ©s peut ĂȘtre exploitĂ©e,
- la défense endpoint seule ne suffit pas,
- la supervision rĂ©seau, la journalisation centralisĂ©e et les contrĂŽles dâintĂ©gritĂ© restent essentiels,
- et la dĂ©tection repose autant sur lâarchitecture que sur lâoutil.
Autrement dit : acheter un EDR ne dispense pas de penser sécurité.
đĄïž Bienveillance obligatoire, panique inutile
Faut-il paniquer ? Non.
Faut-il ignorer ce type dâinformation ? Encore moins.
Ce genre dâoffre montre surtout que la sĂ©curitĂ© est devenue un marchĂ©, y compris cĂŽtĂ© attaquant. Ă nous, dĂ©fenseurs, de continuer Ă Ă©lever le niveau, diversifier les couches de protection et surtout⊠ne jamais considĂ©rer quâun outil, aussi cher soit-il, fait le travail Ă lui seul.
La cybersĂ©curitĂ© nâest pas un produit.
Câest un systĂšme, une discipline, et parfois un sport de combat.
Et visiblement, certains ont dĂ©cidĂ© de vendre les gants. đ„
