La rédaction
Nov 19, 2025

Ransomware Akira : la faille SonicWall qui désactive Microsoft Defender (et comment l’arrêter)

Alerte cybersécurité : Akira, un ransomware redoutable, contourne vos antivirus grâce à une faille SonicWall (CVE-2024-40766). Moins de 40 entreprises sont déjà touchées. Protégez-vous maintenant avec nos conseils pratiques.

Un nouveau mode opératoire inquiétant

Le ransomware Akira cible désormais les entreprises en exploitant les VPN SSL SonicWall afin de pénétrer les réseaux et neutraliser les protections antivirus. Son objectif : désactiver Microsoft Defender et les solutions EDR pour chiffrer les données.

Une attaque par pilote vulnérable (BYOD)

Les chercheurs de Guidepoint Security ont découvert qu’Akira utilise une technique dite Bring Your Own Vulnerable Driver (BYOD).

  • rwdrv.sys : un pilote Windows légitime (ThrottleStop) exploité pour exécuter un autre pilote.
  • hlpdrv.sys : un pilote malveillant qui modifie le registre Windows afin de désactiver Defender.

Une faille déjà connue

Contrairement aux premières rumeurs, Akira n’exploite pas une faille zero-day mais la vulnérabilité CVE-2024-40766, déjà documentée par SonicWall. Moins de 40 entreprises seraient touchées, principalement lors de migrations de pare-feux Gen 6 vers Gen 7.

Mesures de protection recommandées

  • Mettre à jour vers SonicOS 7.3.0 avec MFA renforcé
  • Changer immédiatement les identifiants hérités
  • Renforcer la surveillance des accès VPN
  • Utiliser une solution antivirus avancée compatible avec la détection de pilotes malveillants comme Avast Ultimate Business Security.
facebookShare on Facebook
TwitterTweet
FollowFollow us
Partager sur :
fb-share-icon
Tweet
Pin Share
Pas de commentaire DansNon classé