O ransomware Akira está abusando de um driver legítimo de ajuste de CPU da Intel para desativar o Microsoft Defender em ataques de ferramentas de segurança e EDRs executados nas máquinas de destino.
O driver abusado é ‘rwdrv.sys’ (usado pelo ThrottleStop), que os agentes da ameaça registram como um serviço para obter acesso no nível do kernel.
Esse driver provavelmente é usado para carregar um segundo driver, ‘hlpdrv.sys’, uma ferramenta maliciosa que manipula o Windows Defender para desativar suas proteções.
Este é um ataque ‘Bring Your Own Vulnerable Driver’ (BYOVD), em que os agentes de ameaças usam drivers assinados legítimos que têm vulnerabilidades ou fraquezas conhecidas que podem ser abusadas para obter escalonamento de privilégios. Esse driver é usado para carregar uma ferramenta maliciosa que desabilita o Microsoft Defender.
“O segundo motorista, hlpdrv.sys, também está registrado como um serviço. Quando executado, ele modifica as configurações do DisableAntiSpyware do Windows Defender em REGISTRY MACHINE SOFTWARE Policies Microsoft Windows Defender DisableAntiSpyware “,explicam os pesquisadores.
“O malware faz isso por meio da execução de regedit.exe.”
Essa tática foi observada pela Guidepoint Security, que relata ter visto repetidos abusos do driver rwdrv.sys em ataques de ransomware Akira desde 15 de julho de 2025.
“Estamos sinalizando esse comportamento por causa de sua onipresença em casos recentes de IR do ransomware Akira. Este indicador de alta fidelidade pode ser usado para detecção proativa e caça a ameaças retroativas”, continuou o relatório.
Para ajudar os defensores a detectar e bloquear esses ataques, o Guidepoint Security forneceu uma regra YARA para hlpdrv.sys, bem como indicadores completos de comprometimento (IoCs) para ambos os drivers, seus nomes de serviço e caminhos de arquivo onde eles são descartados.
Ataques Akira ao SonicWall SSLVPN
O ransomware Akira foi recentemente vinculado a ataques a VPNs da SonicWall usando o que se acredita ser uma falha desconhecida.
A Guidepoint Security diz que não pôde confirmar nem desmascarar a exploração de uma vulnerabilidade de dia zero nas VPNs da SonicWall pelos operadores de ransomware Akira.
Em resposta a relatos sobre atividade ofensiva elevada, SonicWall aconselhou desabilitar ou restringir o SSLVPN, impor a autenticação multifator (MFA), habilitar a proteção contra botnet/Geo-IP e remover contas não utilizadas.
Entretanto O Relatório DFIR publicou uma análise dos recentes ataques de ransomware Akira, destacando o uso do carregador de malware Bumblebee entregue por meio de instaladores MSI trojanizados de ferramentas de software de TI.
Um exemplo envolve pesquisas por “ManageEngine OpManager” no Bing, onde o envenenamento de SEO redirecionou a vítima para o site malicioso opmanager[.]pró.
.jpg)
