Pesquisadores de segurança identificaram uma nova tática sofisticada empregada pelos operadores de ransomware Akira, que estão explorando drivers legítimos do Windows para escapar de sistemas antivírus e de detecção de endpoint enquanto visam a infraestrutura VPN da SonicWall.
Esse desenvolvimento representa uma escalada significativa nas capacidades técnicas do grupo e apresenta sérios desafios para as defesas de segurança cibernética corporativa.
Visão geral e cronograma da campanha
Do final de julho ao início de agosto de 2025, vários fornecedores de segurança documentaram um aumento nos ataques de ransomware Akira direcionados às VPNs da SonicWall.
A campanha levantou preocupações sobre possíveis vulnerabilidades de dia zero na infraestrutura SSL VPN da SonicWall, embora a empresa tenha reconhecido os relatórios sem confirmar vulnerabilidades específicas.
As equipes de resposta a incidentes da GuidePoint Security Observado padrões consistentes em vários casos de Akira, revelando o uso sistemático do grupo de dois drivers específicos do Windows como parte de sua metodologia de ataque.
Isso representa uma sofisticada cadeia de ataque “Bring Your Own Vulnerable Driver” (BYOVD) projetada para obter acesso no nível do kernel e desabilitar proteções de segurança.
Metodologia Técnica de Ataque
O primeiro driver, rwdrv.sys, origina-se do ThrottleStop, um utilitário legítimo de ajuste de desempenho do Windows para processadores Intel.
Os afiliados da Akira registram esse driver como um serviço para obter acesso privilegiado no nível do kernel aos sistemas comprometidos.
Essa ferramenta legítima, normalmente usada para monitoramento de desempenho da CPU e substituição de limitação, torna-se um caminho para atividades maliciosas quando armada por agentes de ameaças.
O segundo componente, hlpdrv.sys, serve como o principal mecanismo de evasão.
Uma vez executado, esse driver malicioso modifica diretamente Windows Configurações do Registro do Defender, visando especificamente a configuração DisableAntiSpyware no hive do Registro de políticas do Windows Defender.
O malware consegue isso por meio da execução automatizada de comandos regedit.exe, neutralizando efetivamente um dos principais mecanismos de segurança do Windows.
Os pesquisadores de segurança acreditam que o driver de rwdrv.sys legítimo permite a execução do driver de hlpdrv.sys malicioso, embora o mecanismo técnico exato permaneça sob investigação.
O driver malicioso foi catalogado sob o hash SHA256 bd1f381e5a3db22e88776b7873d4d2835e9a1ec620571d2b1da0c58f81c84a56 em repositórios de malware comerciais.
A SonicWall emitiu recomendações de segurança abrangentes para organizações que usam sua infraestrutura VPN.
As medidas críticas incluem desabilitar os serviços SSLVPN sempre que possível, restringir a conectividade VPN a endereços IP confiáveis, implementar a autenticação multifator e habilitar recursos avançados de segurança, como botnet proteção e filtragem de geo-IP.
A prevalência desses motoristas em vários incidentes de Akira levou os pesquisadores de segurança a desenvolver regras especializadas de detecção de YARA.
Essas assinaturas se concentram nas características exclusivas do driver de hlpdrv.sys mal-intencionado, incluindo sua estrutura de PE, funções de importação e cadeias de caracteres incorporadas, permitindo recursos proativos de busca de ameaças e resposta a incidentes.
Essa campanha ressalta a crescente sofisticação das operações de ransomware, onde ferramentas administrativas legítimas se tornam armas nas mãos de cibercriminosos que buscam contornar arquiteturas de segurança modernas.
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça