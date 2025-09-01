Des affiliés du gang de ransomware Akira utilisent une technique basée sur des pilotes Windows légitimes pour désactiver les antivirus et EDR, en particulier Windows Defender, au cours de leurs attaques. Voici ce que l'on sait.

De l'exploitation du VPN à la neutralisation de Windows Defender

Depuis la fin du mois de juillet 2025, une vague d'attaques menées par le groupe de ransomware Akira a été signalée, ciblant en particulier les entreprises utilisant des solutions VPN de SonicWall. Bien que la présence d'une faille de sécurité zero-day ne soit pas officiellement confirmée par SonicWall, les cybercriminels exploitent sûrement des vulnérabilités récentes.

De leur côté, les chercheurs en sécurité de chez GuidePoint Security ont identifié une tactique post-exploitation particulièrement efficace pour neutraliser les solutions de sécurité présentes sur les machines Windows.

L'approche utilisée par les attaques repose sur une technique bien connue : le "Bring Your Own Vulnerable Driver" (BYOVD). Après avoir obtenu un accès initial au réseau via le VPN SonicWall, leur objectif est de préparer le terrain avant de déployer le ransomware. Pour ce faire, ils cherchent à rendre inactif les antivirus et les EDR pour que leurs actions suspectes ne soient pas détectées.

En utilisant des pilotes légitimes, mais vulnérables, sur le système compromis, les pirates parviennent à obtenir des privilèges élevés, au niveau du noyau Windows. Cet accès n'est pas anodin puisqu'il leur donne ensuite la capacité de désactiver les solutions de sécurité !

"Nous avons observé des affiliés d'Akira exploitant deux pilotes communs dans le cadre d'un effort présumé d'évasion AV/EDR après un accès initial impliquant une utilisation abusive de SonicWall.", peut-on lire dans leur rapport.

Un duo de pilotes au service du ransomware Akira

Les chercheurs de GuidePoint Security ont identifié, à plusieurs reprises, l'utilisation des deux mêmes pilotes dans les cyberattaques liées à Akira.

rwdrv.sys : il s'agit d'un pilote légitime associé à l'utilitaire ThrottleStop , un logiciel de monitoring et d'optimisation pour les processeurs Intel. Les attaquants l'enregistrent en tant que service système. Son rôle dans l'attaque est d'ouvrir une porte vers le noyau de Windows, profitant de ses fonctionnalités pour obtenir un niveau de contrôle total sur la machine.

: il s'agit d'un pilote légitime associé à l'utilitaire , un logiciel de monitoring et d'optimisation pour les processeurs Intel. Les attaquants l'enregistrent en tant que service système. Son rôle dans l'attaque est d'ouvrir une porte vers le noyau de Windows, profitant de ses fonctionnalités pour obtenir un niveau de contrôle total sur la machine. hlpdrv.sys : ce pilote est aussi enregistré en tant que service. Une fois exécuté, probablement grâce aux privilèges obtenus via rwdrv.sys , sa seule mission est de désactiver Windows Defender. Pour y parvenir, il modifie directement la base de registre de Windows (via regedit.exe ) pour altérer la clé HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware .

Pour les entreprises, la présence de ces pilotes est un indicateur à ne pas négliger : c'est un signe de la présence de pirates d'Akira. Leur utilisation aurait débuté dès le 15 juillet 2025, et de nouvelles attaques ont également été observées au cours du mois d’août.

Face à cette menace, la première recommandation est de maintenir à jour le système sur les appliances VPN SonicWall.