O ransomware Akira está abusando de um driver legítimo de ajuste de CPU Intel para desativar o Microsoft Defender em ataques, evitando ferramentas de segurança e EDRs executados nas máquinas alvo.
O driver abusado é o 'rwdrv.sys' (utilizado pelo ThrottleStop), que os atores de ameaça registram como um serviço para obter acesso no nível do kernel.
Este driver é provavelmente usado para carregar um segundo driver, 'hlpdrv.sys,' uma ferramenta maliciosa que manipula o Windows Defender para desligar suas proteções.
Esse é um ataque do tipo 'Bring Your Own Vulnerable Driver' (BYOVD), onde atores de ameaça usam drivers legítimos assinados que têm vulnerabilidades ou fraquezas conhecidas que podem ser abusadas para conseguir escalonamento de privilégios.
Este driver é então usado para carregar uma ferramenta maliciosa que desabilita o Microsoft Defender.
"O segundo driver, hlpdrv.sys, é similarmente registrado como um serviço.
Quando executado, ele modifica as configurações de DisableAntiSpyware do Windows Defender dentro de \REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware," explicam os pesquisadores.
"O malware realiza isso via execução do regedit.exe."
Esta tática foi observada pela Guidepoint Security, que relata ter visto abuso repetido do driver rwdrv.sys em ataques do ransomware Akira desde 15 de julho de 2025.
"Estamos destacando esse comportamento devido à sua ubiquidade em casos recentes de IR do ransomware Akira.
Esse indicador de alta fidelidade pode ser usado para detecção proativa e caça a ameaças retroativas," continuou o relatório.
Para ajudar os defensores a detectar e bloquear esses ataques, a Guidepoint Security forneceu uma regra YARA para hlpdrv.sys, assim como indicadores completos de comprometimento (IoCs) para ambos os drivers, seus nomes de serviço e caminhos de arquivo onde são depositados.
O ransomware Akira foi recentemente ligado a ataques em VPNs da SonicWall usando o que se acredita ser uma falha desconhecida.
A Guidepoint Security diz que não pôde confirmar nem desmentir a exploração de uma vulnerabilidade zero-day em VPNs da SonicWall por operadores do ransomware Akira.
Em resposta a relatórios sobre atividade ofensiva elevada, a SonicWall aconselhou a desabilitar ou restringir SSLVPN, impor autenticação de múltiplos fatores (MFA), habilitar proteção Botnet/Geo-IP e remover contas não utilizadas.
Enquanto isso, o The DFIR Report publicou uma análise de ataques recentes do ransomware Akira, destacando o uso do carregador de malware Bumblebee entregue via instaladores MSI trojanizados de ferramentas de software de TI.
Um exemplo envolve buscas por "ManageEngine OpManager" no Bing, onde o envenenamento SEO redirecionou a vítima para o site malicioso opmanager[.]pro.
O Bumblebee é lançado via DLL sideloading, e uma vez que a comunicação C2 é estabelecida, ele solta AdaptixC2 para acesso persistente.
Os atacantes então conduzem reconhecimento interno, criam contas privilegiadas e exfiltram dados usando FileZilla, mantendo acesso via RustDesk e túneis SSH.
Após aproximadamente 44 horas, o payload principal do ransomware Akira (locker.exe) é implantado para criptografar sistemas através de domínios.
Até que a situação da VPN da SonicWall seja esclarecida, administradores de sistema devem monitorar atividades relacionadas ao Akira e aplicar filtros e bloqueios à medida que indicadores emergem de pesquisas de segurança.
Também é fortemente aconselhado baixar software apenas de sites oficiais e espelhos, já que sites de personificação tornaram-se uma fonte comum para malware.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...