Windows Defender trompé par le rançongiciel LockBit

5/5 - (2 votes)

Windows Defender trompé par le rançongiciel LockBit

L’opérateur LockBit abuse de Windows Defender pour charger Cobalt Strike. Un acteur menaçant associé à l’opération de rançongiciel LockBit 3.0 abuse de l’outil de ligne de commande Windows Defender pour charger des balises Cobalt Strike sur des systèmes compromis et échapper à la détection par un logiciel de sécurité.


Le ransomware LockBit est utilisé pour les attaques hautement ciblées à l'encontre d'entreprises et autres organismes. Dans le cadre d'une cyberattaque, les cybercriminels utilisant LockBit se démarquent en menaçant les entreprises du monde entier de la manière suivante :
Perturbation des opérations avec arrêt soudain des fonctions essentielles
Extorsion de gains financiers au profit des cybercriminels
Vol de données et publication illégale avec chantage si la victime refuse d'obtempérer.


Microsoft Defender, appelé officiellement Antivirus Microsoft Defender, est un composant antivirus de Microsoft Windows. Microsoft a d'abord offert le logiciel en téléchargement comme un programme antiespion gratuit pour Windows XP.

En janvier 2022, Microsoft Défender devient un antivirus multiplateforme avec la prise en charge des vulnérabilités des systèmes d'exploitation mobiles Android et iOS.

Cobalt Strike est une suite de tests d’intrusion légitime avec des fonctionnalités étendues populaires parmi les acteurs de la menace pour effectuer une reconnaissance furtive du réseau et un mouvement latéral avant de voler des données et de les chiffrer. (Sources)


Le chiffrement est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d'un document impossible à toute personne qui n'a pas la clé de chiffrement. Ce principe est généralement lié au principe d'accès conditionnel.

Un ransomware, ou rançongiciel, est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer.

Un ransomware peut aussi bloquer l'accès de tout utilisateur à une machine jusqu'à ce qu'une clé ou un outil de dé-bridage soit envoyé à la victime en échange d'une somme d'argent. Certains rançongiciels comme le Raas babuk sont de véritables arnaques et de donnent pas la clé de déchiffrement après la rançon payée.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004.

Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

Retour haut de page