← Terug naar blog
Security

EDR killers en encryptieloze afpersing: hoe ransomware uw endpoint-beveiliging uitschakelt

Door Zarioh Digital Solutions·22 juni 2026
Delen
EDR killers en encryptieloze afpersing: hoe ransomware uw endpoint-beveiliging uitschakelt

Ransomware-aanvallers schakelen in 2026 eerst uw beveiligingssoftware uit — dán pas slaan ze toe. BYOVD-technieken en encryptieloze afpersing zijn uitgegroeid tot de nieuwe standaard. Wat zijn EDR killers, hoe werkt BYOVD en welke vier maatregelen doorbreken het aanvalspad?

Ransomware-aanvallers volgen in 2026 een nieuw speelboek. Waar aanvallers vroeger direct losgeld eisten na het versleutelen van bestanden, zien beveiligingsonderzoekers nu systematisch een tussenstap die de aanval gevaarlijker maakt: het volledig uitschakelen van beveiligingssoftware vóórdat er ook maar één bestand wordt versleuteld of gestolen. De tools die daarvoor worden ingezet heten EDR killers, en ze zijn in de eerste helft van 2026 uitgegroeid tot een standaardonderdeel van professionele ransomware-aanvallen.

Wat maakt dit zo zorgwekkend? Juist de beveiligingslaag die organisaties moet beschermen, wordt het eerste slachtoffer. IT-teams die vertrouwen op hun endpoint detection and response-oplossing krijgen te maken met een aanvaller die die oplossing al heeft uitgeschakeld voordat een alarm afgaat. Het resultaat: aanvallen die onzichtbaar verlopen totdat de schade al is aangericht.

Wat zijn EDR killers?

EDR killers zijn tools die specifiek ontworpen zijn om beveiligingssoftware op een apparaat te beëindigen. Ze richten zich op processen van bekende security-producten — CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint, ESET en Kaspersky — en sluiten die processen geforceerd af op kernel-niveau. Zodra de EDR-agent niet meer actief is, heeft de aanvaller vrij spel: encryptie of data-exfiltratie kan beginnen zonder detectie.

In oudere aanvalsscenario's was het uitschakelen van beveiligingssoftware onbetrouwbaar en lawaaiig: moderne producten beschermden zichzelf actief tegen beëindiging via de gebruikersinterface. EDR killers omzeilen die zelfbescherming door niet via de gebruikerslaag te opereren maar rechtstreeks via de kernel, het laagste en meest bevoorrechte niveau van het besturingssysteem.

BYOVD: een legitieme driver als aanvalswapen

De meest gangbare techniek achter EDR killers is BYOVD, Bring Your Own Vulnerable Driver. Aanvallers installeren op het aangevallen systeem een legitieme maar kwetsbare driver — vaak een verouderde driver van bekende hardware- of softwareleveranciers — die hogere kernelrechten heeft dan gewone applicaties. Via die driver kunnen ze processen op kernelniveau forceren te sluiten, inclusief de EDR-agent. De driver zelf is ondertekend door een vertrouwde uitgever en wordt daardoor niet direct geflagd als kwaadaardig.

Beveiligingsonderzoekers publiceerden in juni 2026 een diepgaande analyse van het GentleKiller-framework van de Gentlemen-ransomwaregroep. Deze groep, actief sinds augustus 2025, groeide in minder dan een jaar van 35 slachtoffers in het laatste kwartaal van 2025 naar 478 slachtoffers in meer dan 70 landen halverwege 2026. Het raamwerk hergebruikt BYOVD-technieken van andere criminele groeperingen en bundelt ze in een modulaire toolkit. Ook de groepen Qilin en Warlock werden in april 2026 in verband gebracht met BYOVD-aanvallen die meer dan driehonderd verschillende EDR-producten uitschakelten. Het aanvalspatroon is daarmee niet meer iets van een kleine avant-garde: het is breed ingezet en actief onderhouden.

Encryptieloos afpersen: het nieuwe businessmodel

Naast de inzet van EDR killers tekenen beveiligingsonderzoekers in 2026 een tweede verschuiving: afpersing zonder encryptie. Traditioneel versleutelden ransomware-operators de data van hun slachtoffer en eisten losgeld voor de decryptiesleutel. In een groeiend aantal recente aanvallen laten aanvallers die encryptie-stap volledig achterwege. In plaats daarvan stelen ze data en dreigen met publicatie of verkoop aan derden.

De impact op het slachtoffer is even groot, maar de aanpak is voor de aanvaller eenvoudiger, sneller en minder riskant. Minder complexe tooling, kortere verblijftijd in het netwerk, en — cruciaal — slachtoffers betalen nog altijd. Veel organisaties kunnen na zo'n aanval niet vaststellen wát er precies gestolen is, of het al is gepubliceerd, of aan wie het doorverkocht is. Die onzekerheid is genoeg om te betalen.

Een bijkomende trend is het gebruik van legitieme clouddiensten voor de data-exfiltratie zelf. Beveiligingsonderzoekers registreerden in meerdere recente incidenten dat aanvallers Azure Copy inzetten om gestolen data naar externe opslaglocaties over te zetten. Azure-verkeer valt minder snel op in logbestanden omdat het normaalgesproken ook een regulier onderdeel is van bedrijfsprocessen. Aanvallers kiezen dit bewust: verbergen in het normale verkeerspatroon.

Welke organisaties zijn het doelwit?

Geen specifieke sector is immuun, maar aanvallers zijn selectiever geworden. Minder aanvallen, hogere opbrengst per slachtoffer — dat is het patroon in de eerste helft van 2026. Organisaties met kritieke gegevens, klantdata, intellectueel eigendom, financiële informatie, maar zonder volwassen securityprocessen zijn het meest aantrekkelijk. Dat zijn niet alleen grote corporaties: juridische kantoren, logistieke bedrijven, zorgorganisaties en productiebedrijven met beperkte IT-staf staan hoog in de doellijsten.

Aanvallers volgen doorgaans een vast pad. Een initieel toegangspunt via phishing, een kwetsbare VPN of blootgesteld Remote Desktop Protocol. Vervolgens laterale beweging om beheerdersrechten te escaleren. Daarna installatie van de EDR killer. En pas dan exfiltratie of versleuteling. Het is een gestructureerd, meerfazig proces — niet het willekeurige opportunistische aanval van vijf jaar geleden.

Vier technische maatregelen die het aanvalspad doorbreken

Er zijn concrete technische maatregelen die specifiek ingrijpen op de BYOVD- en EDR-killer-tactiek. Ze vereisen actieve configuratie, maar zijn beschikbaar in elk modern Windows-beheerplatform.

De eerste maatregel is het activeren van Memory Integrity, ook bekend als HVCI of Hypervisor-Protected Code Integrity, op Windows 11-apparaten. HVCI blokkeert het laden van niet-ondertekende of kwetsbare drivers op kernelniveau. Het is een aanbevolen instelling in de Windows 11 security baseline die beschikbaar is in Microsoft Intune. Op oudere apparaten kan dit compatibiliteitsproblemen veroorzaken — test in een pilotgroep voordat u breed uitrolt.

De tweede maatregel is het activeren van de Microsoft kwetsbare driver-blokkeerlijst via Windows Defender Application Control of via de Intune security baseline. Deze lijst bevat bekende kwetsbare drivers die aanvallers misbruiken voor BYOVD-aanvallen en wordt periodiek bijgewerkt door Microsoft. Blokkering van deze drivers neemt een essentieel aanvalsgereedschap weg.

De derde maatregel is Tamper Protection inschakelen op alle beheerde apparaten. Producten zoals Microsoft Defender for Endpoint bieden een ingebouwde beschermlaag die voorkomt dat de EDR-agent via software kan worden beëindigd. Dit is niet altijd de standaard en verdient expliciete verificatie in uw Intune- of Defender-configuratie.

De vierde maatregel is actieve monitoring op BYOVD-indicatoren in uw SIEM of MDR-omgeving. Specifieke signalen om op te letten: het laden van onbekende of verouderde drivers, geforceerde beëindiging van beveiligingsprocessen, en ongewoon hoge upload-activiteit naar cloudopslag buiten kantooruren. Wie deze patronen actief monitort, kan een aanval onderscheppen in de voorbereiding — vóórdat de daadwerkelijke payload wordt uitgevoerd.

Wat moet uw IT-team deze maand controleren?

Drie gerichte checks voor de komende twee weken. Controleer of HVCI actief is op uw Windows 11-apparaten via Intune Device Compliance of via de sectie Device Security in het Windows Security Center. Controleer of Tamper Protection is ingeschakeld via het Microsoft Defender for Endpoint-portaal onder de apparaatinstellingen. En controleer of uw SIEM of MDR-provider alerts heeft voor het laden van kwetsbare drivers — als die alerting ontbreekt, is dat een prioriteit.

Aanvallen via EDR killers zijn geen theoretisch risico meer. Ze worden actief ingezet door professioneel georganiseerde groepen en treffen ook organisaties die al hebben geïnvesteerd in endpoint-beveiliging. De tegenmaatregelen bestaan, maar vereisen actieve configuratie en monitoring. Wilt u weten hoe uw huidige endpoint-configuratie zich verhoudt tot deze dreigingen, of hulp bij het inrichten van HVCI, Tamper Protection en BYOVD-detectie? Neem contact op met Zarioh voor een technisch gesprek.

Was dit artikel nuttig?

Nieuwsbrief

Laatste tech nieuws

Ontvang nieuwe artikelen direct in je inbox.

Geen spam. Afmelden kan altijd.

← Terug naar alle artikelen
Delen