Ransomware-ul Akira a încercat să paralizeze Microsoft Defender prin exploatarea driverului legitim pentru utilitarul ThrottleStop, un soft de optimizare a procesoarelor Intel, denumit „rwdrv.sys”, ca parte a atacurilor Bring Your Own Vulnerable Driver. Aceste atacuri au început a fi observate de la jumătatea lunii iulie, potrivit BleepingComputer.
Urmărește cele mai noi producții video TechRider.ro
- articolul continuă mai jos -
Analiștii de la mai multe firme de securitate cibernetică au avertizat recent că afiliații grupului de ransomware Akira vizează o vulnerabilitate necunoscută în firewall-urile SonicWall Gen 7, iar acum știm cum procedează hackerii.
Analiștii GuidePoint Security au observat exploatarea unor drivere Windows
Cercetătorii de la echipa de cercetare și informații a GuidePoint Security, cunoscută și sub numele de GRIT, au observat că un afiliat al grupului Akira profită de o pereche de drivere Windows comune pentru a evita instrumentele antivirus și de protecție a terminalelor, odată ce au reușit să obțină acces inițial la rețelele protejate de firewall-urile SonicWall.
De la sfârșitul lunii iulie până la începutul lunii august 2025, mai mulți furnizori de securitate au raportat exploatarea VPN-urilor SonicWall, care a dus la implementarea ransomware-ului Akira. Acest raport a evaluat că această campanie poate fi determinată în parte de o vulnerabilitate zero day neraportată în VPN-urile SonicWall. SonicWall a recunoscut raportul, dar nu a dezvăluit nicio informație cu privire la o nouă vulnerabilitate.
Cu toate acestea, pe baza mai multor cazuri de răspuns la incidente GuidePoint din ultimele luni, a fost detectată utilizarea repetată a două drivere Windows de către afiliații Akira. Aceste drivere au fost aproape sigur utilizate pentru a facilita evitarea sau dezactivarea AV(anti virus)/EDR (Endpoint Detection and Response) printr-un lanț de exploatare Bring Your Own Vulnerable Driver (BYOVD).
Primul driver, rwdrv.sys, este un driver legitim pentru ThrottleStop. Acest utilitar de optimizare și monitorizare a performanței bazat pe Windows este conceput în principal pentru procesoare Intel. Este adesea utilizat pentru a suprascrie mecanismele de limitare a procesorului, pentru a îmbunătăți performanța și pentru a monitoriza comportamentul procesorului în timp real. S-a observat că afiliații Akira înregistrează acest driver ca serviciu și s-a evaluat că acest driver este utilizat pentru a obține acces la nivel de kernel la dispozitivul afectat.
Al doilea driver, hlpdrv.sys, este înregistrat în mod similar ca serviciu. Când este executat, acesta modifică setările DisableAntiSpyware ale Windows Defender din regiștrii sistemului de operare Windows. Malware-ul realizează acest lucru prin executarea regedit.exe.
Driverul abuzat este „rwdrv.sys” (utilizat de ThrottleStop), pe care atacatorii îl înregistrează ca serviciu pentru a obține acces la nivel de kernel.
Este probabil ca acest driver să fie utilizat pentru a încărca un al doilea driver, „hlpdrv.sys”, un instrument rău intenționat care manipulează Windows Defender pentru a dezactiva protecțiile sale.
Acesta este un atac de tip „Bring Your Own Vulnerable Driver” (BYOVD), în care infractorii cebernetici utilizează drivere semnate în mod legitim, care au vulnerabilități sau puncte slabe cunoscute, care pot fi exploatate pentru a obține escaladarea privilegiilor. Acest driver este apoi utilizat pentru a încărca un instrument rău intenționat care dezactivează Microsoft Defender.
„Al doilea driver, hlpdrv.sys, este înregistrat în mod similar ca serviciu. Când este executat, modifică setările DisableAntiSpyware ale Windows Defender din \REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware”, explică cercetătorii de la GRIT.
„Malware-ul realizează acest lucru prin executarea regedit.exe.”
Această tactică a fost observată de Guidepoint Security, care a raportat abuzuri repetate ale driverului rwdrv.sys în atacurile ransomware Akira începând cu 15 iulie 2025.
„Semnalăm acest comportament din cauza omniprezenței sale în cazurile recente de ransomware Akira IR. Acest indicator de înaltă fidelitate poate fi utilizat pentru detectarea proactivă și vânarea retroactivă a amenințărilor”, continuă raportul.
Pentru a ajuta apărătorii să detecteze și să blocheze aceste atacuri, Guidepoint Security a furnizat o regulă (YARA) pentru hlpdrv.sys, precum și indicatori de compromitere a sistemului (IoC) pentru ambele drivere, numele serviciilor lor și căile de fișiere în care sunt plasate.
Atacurile Akira asupra SonicWall SSLVPN
Ransomware-ul Akira a fost recent asociat cu atacuri asupra VPN-urilor SonicWall folosind ceea ce se crede a fi o vulnerabilitate necunoscută.
Guidepoint Security afirmă că nu poate confirma sau infirma exploatarea unei vulnerabilități zero-day în VPN-urile SonicWall de către operatorii ransomware-ului Akira.
Ca răspuns la rapoartele privind activitatea ofensivă crescută, SonicWall a recomandat dezactivarea sau restricționarea SSLVPN, aplicarea autentificării multifactoriale (MFA), activarea protecției Botnet/Geo-IP și eliminarea conturilor neutilizate.
Între timp, The DFIR Report a publicat o analiză a recentelor atacuri ransomware Akira, evidențiind utilizarea încărcătorului de malware Bumblebee livrat prin intermediul instalatorilor MSI sub forma de troieni ai instrumentelor software IT.
Un exemplu implică căutări pentru „ManageEngine OpManager” pe Bing, unde prin otrăvirea (poisoning) SEO a redirecționat victima către site-ul rău intenționat opmanager[.]pro.
Bumblebee este lansat prin sideloading DLL și, odată stabilită comunicarea C2, acesta lansează AdaptixC2 pentru acces persistent.
Atacatorii efectuează apoi recunoaștere internă, creează conturi privilegiate și exfiltrează date folosind FileZilla, menținând în același timp accesul prin tuneluri RustDesk și SSH.
După aproximativ 44 de ore, încărcătura principală a ransomware-ului Akira (locker.exe) este distribuită pentru a cripta sistemele din toate domeniile.
Până la clarificarea situației SonicWall VPN, administratorii de sistem ar trebui să monitorizeze activitatea legată de Akira și să aplice filtre și blocări pe măsură ce apar indicatori din cercetările de securitate.
De asemenea, se recomandă insistent să descărcați software numai de pe site-uri și oglinzi (mirrors) oficiale, deoarece site-urile de falsificate au devenit o sursă des folosită de infectare cu malware.
