Cybersecurity Threat Advisory: Ransomware die EDR uitschakelt met kwetsbare drivers

Written by Olivia Nolan

juni 25, 2026

In het voortdurend veranderende landschap van cyberdreigingen is een alarmerende nieuwe techniek naar voren gekomen die de effectiviteit van endpoint security-oplossingen direct ondermijnt. Dit **Cybersecurity Threat Advisory: Ransomware turning off EDR with vulnerable drivers** belicht een geavanceerde methode die bekendstaat als 'Bring Your Own Vulnerable Driver' (BYOVD). Cybercriminelen maken hierbij misbruik van legitieme, digitaal ondertekende, maar kwetsbare drivers van derden om toegang te krijgen tot de kernel van het besturingssysteem. Deze diepe, geprivilegieerde toegang stelt hen in staat om beveiligingssoftware, zoals Endpoint Detection and Response (EDR) en antivirusprogramma's, volledig uit te schakelen van binnenuit. De aanval wordt hierdoor nagenoeg onzichtbaar voor de verdedigingsmechanismen die juist zijn ontworpen om de systemen te beschermen, waardoor de ransomware vrij spel heeft.

Luister naar dit artikel:

Een BYOVD-aanval volgt een verraderlijk en stapsgewijs patroon. Het begint doorgaans met een initiële compromittering, vaak via phishing of het uitbuiten van een andere kwetsbaarheid, om een eerste voet aan de grond te krijgen op het systeem. Vervolgens plaatst de aanvaller de zorgvuldig geselecteerde, kwetsbare driver op de machine. Door de kwetsbaarheid in deze legitieme driver te activeren, verkrijgt de kwaadaardige code kernel-level privileges, het hoogst mogelijke toegangsniveau. Met deze macht kunnen de aanvallers de processen en services van beveiligingstools direct beëindigen. EDR-systemen, die normaal gesproken verdachte activiteiten monitoren en blokkeren, worden zo volledig blind en machteloos gemaakt. Zodra de digitale verdediging is ontmanteld, wordt de daadwerkelijke ransomware-payload geactiveerd om bestanden te versleutelen en de organisatie te gijzelen.
Het bestrijden van BYOVD-aanvallen vereist een verschuiving van een puur reactieve naar een proactieve verdedigingshouding. Een van de meest effectieve maatregelen is het implementeren van strikt applicatiebeheer, zoals Windows Defender Application Control (WDAC) of AppLocker. Deze tools kunnen worden geconfigureerd om alleen het laden van goedgekeurde en vertrouwde drivers toe te staan, waardoor het gebruik van ongeautoriseerde, kwetsbare drivers wordt geblokkeerd. Daarnaast is het essentieel om een actieve blokkeringslijst van bekende kwetsbare drivers te onderhouden en af te dwingen. Microsoft en andere security-organisaties publiceren dergelijke lijsten. Door deze drivers proactief te blokkeren, wordt de aanvalsvector voor de cybercrimineel effectief afgesloten, nog voordat deze misbruikt kan worden. Deze preventieve aanpak versterkt de basisbeveiliging aanzienlijk.

advertenties

advertenties

advertenties

advertenties

Naast preventie is het verharden van endpoints cruciaal. Dit omvat het afdwingen van driver-handtekeningverificatie en het consequent toepassen van het ‘Principle of Least Privilege’, waarbij gebruikers en applicaties alleen de minimale rechten krijgen die nodig zijn voor hun functie. Dit beperkt de schade als een account wordt gecompromitteerd. Continue monitoring van systeemevenementen, specifiek het monitoren van het laden van nieuwe drivers (bijvoorbeeld via Windows Event ID 7045), kan helpen om verdachte activiteit vroegtijdig te detecteren. Mocht een aanval toch succesvol zijn, dan is een robuuste en regelmatig geteste back-up- en herstelstrategie onmisbaar voor de bedrijfscontinuïteit. Veerkracht wordt niet alleen bepaald door het voorkomen van aanvallen, maar ook door de snelheid en effectiviteit waarmee een organisatie kan herstellen.

Olivia Nolan is redacteur bij MSP2Day, waar zij zich richt op het vertalen van complexe IT- en technologische ontwikkelingen naar toegankelijke en inspirerende artikelen. Met haar ervaring als content manager en social media expert weet zij inhoud niet alleen informatief, maar ook aantrekkelijk en relevant te maken voor een breed publiek.