GuidePoint Security alerte sur une nouvelle méthode d’attaque utilisant le rançongiciel Akira.
Selon un rapport de la société de sécurité GuidePoint Security consulté par PCWorld, les pirates peuvent désactiver Microsoft Defender en exploitant un pilote vulnérable, rwdrv.sys. Celui-ci est utilisé pour l’outil d’optimisation CPU Intel ThrottleStop. Via ce pilote, les attaquants obtiennent l’accès au noyau du système.
Injection d’un pilote malveillant
Avec ces privilèges élevés, les criminels peuvent charger leur propre pilote malveillant, dans ce cas hlpdrv.sys. Celui-ci modifie le registre Windows et désactive les fonctions de protection essentielles de Microsoft Defender. Le rançongiciel Akira peut alors être installé et exécuté.
Selon GuidePoint Security, cette méthode est utilisée dans les campagnes Akira depuis juillet. Il s’agit d’une « attaque en deux temps » ciblée où le pilote vulnérable est d’abord exploité, puis la sécurité est désactivée.
Protection
Il est recommandé aux utilisateurs d’utiliser un antivirus fiable et de maintenir Windows et les logiciels de sécurité toujours à jour. Les mises à jour régulières permettent une détection et un blocage plus rapides des nouvelles variantes de logiciels malveillants.