Microsoft Defender, l’antivirus par défaut qui protège les ordinateurs Windows, n’est pas infaillible. Comme l’ont remarqué les chercheurs de GuidePoint Security, des cybercriminels ont trouvé le moyen de contourner l’antivirus, autrefois appelé Windows Defender, pour propager un redoutable ransomware. Il s’agit du malware Akira, spécialisé dans les attaques de double extorsion, avec vol et chiffrement des données des victimes.
À lire aussi : Nouvelle menace sur Windows – le virus CyberEYE peut désactiver Microsoft Defender pour voler vos données
Comment le virus Akira berne Microsoft Defender ?
Pour arriver à leurs fins, les pirates orchestrent une attaque dite « Bring Your Own Vulnerable Driver ». Cette offensive consiste à utiliser un pilote Windows légitime pour obtenir des privilèges très élevés sur la machine infectée. Les pirates visent à obtenir un accès au niveau du noyau, ce qui leur permet d’agir en profondeur sans alerter les mécanismes de sécurité. Dans le cadre de l’attaque, les hackers installent un pilote signé, mais qui est vulnérable. Ils vont ensuite se servir des vulnérabilités du pilote pour obtenir les droits les plus élevés sur l’ordinateur, et, de fil en aiguille, charger un outil malveillant qui peut contourner Microsoft Defender.
En l’occurrence, il s’agit du pilote ‘rwdrv.sys’, qui est utilisé par ThrottleStop, un logiciel qui permet de modifier certains paramètres des processeurs Intel, comme la fréquence ou la tension. Il offre donc un accès direct au processeur et à la mémoire de la machine. Signé numériquement par un éditeur de confiance, il ne déclenche pas la moindre alerte de sécurité. Ce pilote aboutit au chargement d’un outil taillé pour désactiver les fonctions de Microsoft Defender. Il s’agit en fait d’un second pilote, qui est uniquement conçu pour mener des attaques. L’antivirus devient alors inopérant et laisse la porte ouverte au ransomware Akira.
Depuis le 15 juillet 2025, les chercheurs ont enregistré plusieurs attaques signées Akira reposant sur cette tactique. GuidePoint Security explique signaler « ce comportement car il est omniprésent dans les récents incidents de réponse à des attaques du ransomware Akira ». Des cyberattaques analogues ont été enregistrées jusqu’au début du mois d’aout 2025. Par mesure de prudence, on vous recommande d’améliorer la sécurité de votre ordinateur en ajoutant un second antivirus Windows.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : GuidePoint Security
