Neutralisation des EDR : une nouvelle étape clé des attaques ransomware
Au début de l’année 2026, une évolution structurante se confirme dans les modes opératoires des attaquants : la neutralisation des solutions EDR s’impose comme une étape préparatoire quasi systématique.
Désignée sous le terme d’« EDR Killer », cette approche ne vise plus à contourner les mécanismes de détection, mais à les désactiver en amont afin de réduire fortement la visibilité défensive.
Cette évolution s’appuie sur des techniques déjà connues, mais aujourd’hui mieux maîtrisées et surtout plus largement utilisées.
L’utilisation de drivers légitimes mais vulnérables (BYOVD) permet notamment d’obtenir un accès au noyau et d’interagir directement avec les mécanismes de sécurité. Ces actions sont généralement associées à des techniques d’exécution en mémoire et à des manipulations ciblées visant à désactiver certaines fonctions internes des EDR (hooks, callbacks, télémétrie).
Le groupe de ransomware Qilin ransomware group illustre cette dynamique en intégrant ces capacités en amont de ses opérations.
Toutefois, ce cas doit être considéré comme représentatif d’une tendance plus large : la neutralisation des capacités de détection devient progressivement un prérequis opérationnel partagé par un nombre croissant d’acteurs.