📰 New 'Gentlemen' Ransomware Group Deploys Advanced GPO and BYOVD Attacks
New 'Gentlemen' ransomware group emerges, using advanced tactics like GPO modification for mass deployment and 'Bring Your Own Vulnerable Driver' (BYOVD) to bypass security. Double extortion attacks are on the rise. 🎩 #Ransomware #Gentlemen #BYOVD ...
Cisco Talos (Threat Spotlight) publie une analyse d’une campagne de ransomware DeadLock menée par un acteur financier qui combine techniques BYOVD, scripts PowerShell et post-exploitation pour neutraliser la défense et chiffrer des environnements Windows. • Point clé: l’attaque s’appuie sur un Bring Your Own Vulnerable Driver (BYOVD) et un loader inédit pour exploiter la vulnérabilité CVE-2024-51324 du driver Baidu Antivirus (BdApiUtil.sys) afin de terminer des processus EDR au niveau noyau. Le driver légitime est déposé avec un loader (noms observés: “EDRGay.exe” et “DriverGay.sys”) dans le dossier “Videos”. Le loader ouvre un handle sur “\.\BdApiUtil” (CreateFile) puis envoie un IOCTL 0x800024b4 (fonction 0x92D) via DeviceIoControl, ce qui conduit le driver vulnérable à exécuter ZwTerminateProcess() sans vérification de privilèges.
DeadLock ransomware now uses a new BYOVD loader exploiting Baidu driver CVE-2024-51324 to terminate EDR processes at the kernel level. Pre-encryption PowerShell scripting disables defenses and wipes shadow copies before deploying custom time-based encryption.
https://www.technadu.com/deadlock-ransomware-uses-new-byovd-loader-exploiting-driver-vulnerability-to-disable-edr/615498/
#Cybersecurity #Ransomware #BYOVD #DeadLock #EDR #ThreatIntel
📰 DeadLock Ransomware Uses Vulnerable Baidu Driver to Blind EDRs
DeadLock ransomware evolves, using a novel BYOVD attack to disable EDRs. 🛡️ The campaign exploits a vulnerable Baidu AV driver (CVE-2024-51324) to gain kernel-level control and kill security processes. #Ransomware #BYOVD #CyberSecurity #DeadLock
10 популярных техник обхода EDR
Алексей Баландин, Security Vision На сегодняшний день невозможно представить защиту конечных точек без системы EDR, которая, в отличие от устаревшего антивируса, основана в первую очередь на поведенческом анализе происходящих в системе событий. Потребность в этой системе резко возросла за последние 10 лет в связи с тем, что угрозы совершенствуются из года в год. Давно стало очевидно, что эффективно противостоять атакующим можно не столько за счет статического анализа кода, сигнатурного метода, сколько за счет изучения, анализа и блокировки их поведенческих паттернов, используемых тактик, техник и процедур. Этим и занимается класс продуктов EDR и активно развивается за счет постоянного пополнения базы знаний о новых методах атак. Обратной стороной медали является то, что атакующие не стоят на месте и разрабатывают все новые способы обхода и противодействия EDR. Далее рассмотрим техники обхода EDR, которые были наиболее популярны у атакующих за последние 5 лет.
https://habr.com/ru/companies/securityvison/articles/973172/
Selon Trend Micro, cette analyse détaille l’évolution et les techniques de DragonForce (Water Tambanakua), un ransomware-as-a-service qui a muté d’un usage des builders LockBit 3.0 en 2023 vers un modèle de « cartel » RaaS en 2025. Le groupe propose aux affiliés jusqu’à 80% des rançons et fournit des payloads multivariants pour Windows, Linux, ESXi et NAS, ainsi que des outils avancés dont des services d’analyse de données pour l’extorsion. Des liens avec Scattered Spider, RansomHub et d’autres acteurs sont évoqués, suggérant un écosystème complexe. 🐉
[Перевод] Техники обхода систем обнаружения: маскировка путей и BYOVD
Вакансии по пентесту всё чаще требуют не только понимания принципов работы ключевых СЗИ (WAF, EDR, NAC), но и практических навыков их обхода. То же самое касается EDR/AV. В реальных отчётах о кибератаках также регулярно упоминается, как злоумышленники обходят средства защиты и остаются незамеченными. Предлагаем рассмотреть пару приемов таких обходов и проверить, готовы ли ваши системы защиты к подобным вызовам.
https://habr.com/ru/companies/cloud4y/articles/962456/
#информационная_безопасность #edr #системы_защиты #мониторинг #маскировка_путей #byovd #символические_ссылки
🚨 EDR-Redir exploit uses Windows’ Bind & Cloud Filter drivers to redirect or isolate EDR folders from user mode - no kernel privileges required.
Demoed by TwoSevenOneT, it breaks Elastic Defend, Sophos, and even disables Defender via CFAPI corruption.
Minifilter abuse is becoming the new weak link in EDR design.
💬 Thoughts on how vendors should adapt?
Follow TechNadu for continuous
#ThreatResearch and #EDREvasion updates.
#InfoSec #CyberSecurity #EDR #BYOVD #WindowsSecurity #MalwareAnalysis #RedTeam
Selon Trend Micro Research, une campagne sophistiquée d’Agenda (Qilin) combine des leurres de type faux CAPTCHA, l’abus d’outils RMM légitimes et des techniques BYOVD pour déployer et exécuter un binaire de ransomware Linux sur des hôtes Windows, contournant les contrôles et EDR centrés sur Windows. Depuis janvier 2025, 591 victimes dans 58 pays ont été affectées. L’intrusion commence par des pages de faux CAPTCHA hébergées sur l’infrastructure Cloudflare R2 distribuant des infostealers, suivies du déploiement de portes dérobées COROXY (proxies SOCKS) en multiples instances afin d’obfusquer le C2. Les attaquants ciblent ensuite de manière stratégique l’infrastructure de sauvegarde Veeam pour le vol d’identifiants via des scripts PowerShell contenant des charges Base64 et interrogeant plusieurs bases de données Veeam.
It's been a bit quiet over the last 24 hours, but we have a significant update on the Akira ransomware group's evolving tactics, particularly their ability to bypass MFA on SonicWall VPNs. Let's dive in:
Akira Ransomware Bypassing MFA on SonicWall VPNs ⚠️
- Akira ransomware affiliates are actively breaching SonicWall SSL VPNs, successfully authenticating even when one-time password (OTP) multi-factor authentication is enabled.
- This bypass is believed to stem from the use of credentials and OTP seeds previously stolen via the improper access control vulnerability CVE-2024-40766, allowing threat actors to regain access even after devices have been patched.
- Once inside, Akira moves quickly, performing internal network scanning, enumerating Active Directory, targeting Veeam servers for credential extraction, and employing Bring-Your-Own-Vulnerable-Driver (BYOVD) attacks to disable endpoint protection. Admins are urged to reset all VPN credentials on any device that previously used vulnerable firmware.
🤖 Bleeping Computer | https://www.bleepingcomputer.com/news/security/akira-ransomware-breaching-mfa-protected-sonicwall-vpn-accounts/
#CyberSecurity #ThreatIntelligence #Ransomware #Akira #SonicWall #VPN #MFA #Vulnerability #CVE202440766 #BYOVD #IncidentResponse #InfoSec
CyberNetsecIO
CyberVeille.ch
TechNadu
Habr
SOC Goulash