Вирус-вымогатель Akira использует легитимный драйвер настройки процессора Intel, чтобы отключить Microsoft Defender при атаках с использованием инструментов безопасности и EDR, работающих на целевых компьютерах.
Злоумышленники регистрируют вредоносный драйвер «rwdrv.sys» (используется ThrottleStop) как службу для получения доступа на уровне ядра.
Вероятно, этот драйвер используется для загрузки второго драйвера, «hlpdrv.sys», вредоносного инструмента, который манипулирует Защитником Windows, отключая его защиту.
Это атака «Принеси свой уязвимый драйвер» (BYOVD), при которой злоумышленники используют легитимные подписанные драйверы с известными уязвимостями или уязвимостями, которые можно использовать для повышения привилегий. Затем этот драйвер используется для загрузки вредоносного инструмента, отключающего Microsoft Defender.
«Второй драйвер, hlpdrv.sys, аналогичным образом зарегистрирован как служба. При запуске он изменяет настройки DisableAntiSpyware Защитника Windows в папке \REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware», — .
«Вредоносное ПО делает это посредством запуска regedit.exe».
Эту тактику заметила компания Guidepoint Security, которая сообщает о неоднократном злоупотреблении драйвером rwdrv.sys в атаках вируса-вымогателя Akira с 15 июля 2025 года.
«Мы отмечаем это поведение в связи с его повсеместностью в недавних случаях IR-анализа вируса-вымогателя Akira. Этот высокоточный индикатор можно использовать для упреждающего обнаружения и ретроспективного поиска угроз», — говорится в отчёте.
Чтобы помочь защитникам обнаруживать и блокировать эти атаки, Guidepoint Security предоставила правило YARA для hlpdrv.sys, а также полные индикаторы компрометации (IoC) для обоих драйверов, имена их служб и пути к файлам, где они размещены.
Акира атакует SonicWall SSLVPN
Недавно вирус-вымогатель Akira был связан с атаками на VPN-сети SonicWall, в которых, как считается, использовалась неизвестная уязвимость.
Компания Guidepoint Security заявила, что не смогла ни подтвердить, ни опровергнуть факт эксплуатации уязвимости нулевого дня в VPN-сетях SonicWall операторами вируса-вымогателя Akira.
В ответ на сообщения о возросшей активности агрессивных атак отключить или ограничить SSLVPN, включить многофакторную аутентификацию (MFA), включить защиту от ботнетов/гео-IP и удалить неиспользуемые учетные записи.
Тем временем был опубликован анализ недавних атак вируса-вымогателя Akira, в котором подчеркивается использование загрузчика вредоносного ПО Bumblebee, распространяемого через троянизированные MSI-установщики ИТ-программных инструментов.
В качестве примера можно привести поисковый запрос «ManageEngine OpManager» в Bing, где SEO-заражение перенаправляло жертву на вредоносный сайт opmanager[.]pro.
Источник: Отчет DFIR
Bumblebee запускается посредством загрузки DLL, и как только устанавливается связь с C2, он прекращает использование AdaptixC2 для постоянного доступа.
Затем злоумышленники проводят внутреннюю разведку, создают привилегированные учетные записи и извлекают данные с помощью FileZilla, сохраняя при этом доступ через RustDesk и туннели SSH.
Примерно через 44 часа основная полезная нагрузка программы-вымогателя Akira (locker.exe) развертывается для шифрования систем между доменами.
Пока ситуация с SonicWall VPN не прояснится, системным администраторам следует отслеживать активность, связанную с Akira, и применять фильтры и блокировки по мере появления соответствующих индикаторов в ходе исследований безопасности.
Также настоятельно рекомендуется загружать программное обеспечение только с официальных сайтов и зеркал, поскольку поддельные сайты стали распространенным источником вредоносного ПО.
