Программа-вымогатель Akira использует уязвимый драйвер для отключения Microsoft Defender

Вредоносная программа Akira использует легитимный драйвер для настройки процессора Intel, чтобы отключать Microsoft Defender и обходить средства защиты, работающие на целевых машинах (включая EDR-системы).

Злоумышленники используют драйвер rwdrv.sys (применяемый в утилите ThrottleStop), регистрируя его как системную службу и получая доступ на уровне ядра.

Этот драйвер используется для загрузки второго — вредоносного — драйвера hlpdrv.sys, с помощью которого отключается защита Windows Defender.

Это типичная атака формата BYOVD (Bring Your Own Vulnerable Driver) — «принеси с собой уязвимый драйвер». В этом случае атакующие используют подписанные, но уязвимые драйверы, чтобы повысить привилегии, а затем отключить средства защиты.

Исследователи поясняют:

Второй драйвер hlpdrv.sys также регистрируется как служба. При запуске он изменяет параметр DisableAntiSpyware в системном реестре по пути \REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware.

Вредоносная программа выполняет это с помощью запуска regedit.exe.

Этот подход был замечен специалистами из GuidePoint Security, которые с 15 июля 2025 года фиксируют регулярное использование драйвера rwdrv.sys в атаках вымогателя Akira.

В отчете говорится:

Мы отмечаем такое поведение из-за его широкого распространения в последних инцидентах, связанных с Akira. Это надежный индикатор, пригодный как для проактивного обнаружения, так и для ретроспективного анализа угроз.

GuidePoint Security также предоставила правило YARA для hlpdrv.sys, а также полный список IoC (индикаторов компрометации): имена служб, пути размещения файлов и прочее — для помощи в обнаружении и блокировке подобных атак.

Атаки Akira на SonicWall SSLVPN

Также Akira была недавно связана с атаками на VPN-решения от SonicWall, предположительно через неизвестную уязвимость.

Компания GuidePoint Security не смогла ни подтвердить, ни опровергнуть, что в атаках использовалась уязвимость нулевого дня в SonicWall VPN.

В ответ на усиление атак SonicWall рекомендовала:

• Отключить или ограничить SSLVPN;
• Включить многофакторную аутентификацию (MFA);
• Активировать защиту от ботнетов и по геолокации (Botnet/Geo-IP);
• Удалить неиспользуемые аккаунты.

Тем временем The DFIR Report опубликовал анализ последних атак вымогателя Akira, в котором отмечается использование загрузчика Bumblebee. Этот зловред распространялся через MSI-инсталляторы IT-инструментов, содержащие трояны.

В одном из примеров жертва искала в Bing программу «ManageEngine OpManager», но из-за «SEO-отравления» (поисковой оптимизации вредоносного сайта) была перенаправлена на поддельный ресурс

На этом сайте запускался Bumblebee через DLL sideloading, после чего устанавливалось соединение с C2-сервером и загружался AdaptixC2 — средство для постоянного доступа.

Далее атакующие проводили внутреннюю разведку, создавали привилегированные учетные записи, передавали данные через FileZilla и сохраняли доступ с помощью RustDesk и SSH-туннелей.

Примерно через 44 часа запускался основной исполняемый файл вымогателя — locker.exe, шифрующий системы в домене.

До тех пор, пока ситуация с уязвимостью в SonicWall VPN не будет окончательно решена, системным администраторам рекомендуется внимательно отслеживать активность, связанную с вымогателем Akira, а также применять фильтры и блокировки на основе новых индикаторов, поступающих от исследователей в сфере безопасности.

Также настоятельно рекомендуется загружать программное обеспечение только с официальных сайтов и проверенных зеркал, поскольку сайты-двойники стали распространенным источником распространения вредоносных программ.