Akira Ransomware, güvenlik araçlarından ve hedef makinelerde çalışan EDR’lerden gelen saldırılarda Microsoft Defender’ı kapatmak için meşru bir Intel CPU ayar sürücüsünü kötüye kullanıyor.
İstismar edilen sürücü, tehdit aktörlerinin çekirdek düzeyinde erişim elde etmek için bir hizmet olarak kaydedildiği ‘RWDRV.SYS”dir (MestrottLestop tarafından kullanılır).
Bu sürücü muhtemelen Windows Defender’ı korumalarını kapatmak için manipüle eden kötü amaçlı bir araç olan ikinci bir sürücü olan ‘hlpdrv.sys’ yüklemek için kullanılır.
Bu, tehdit aktörlerinin ayrıcalık artışını sağlamak için istismar edilebilecek güvenlik açıkları veya zayıflıkları bilinen meşru imzalı sürücüler kullandıkları bir ‘kendi savunmasız sürücünüzü getir’ (BYOVD) saldırısıdır. Bu sürücü daha sonra Microsoft Defender’ı devre dışı bırakan kötü amaçlı bir araç yüklemek için kullanılır.
“İkinci sürücü HLPDRV.sys, benzer şekilde bir hizmet olarak kaydedilir. Yürütüldüğünde, Windows Defender’ın DePafeantispyware ayarlarını \ Register \ Machine \ Software \ Policaties \ Microsoft \ Windows Defender \ Disaftispyware” de değiştirir. “
“Kötü amaçlı yazılım bunu regedit.exe’nin yürütülmesi yoluyla gerçekleştirir.”
Bu taktik, 15 Temmuz 2025’ten bu yana Akira fidye yazılımı saldırılarında RWDRV.SYS sürücüsünün tekrar tekrar kötüye kullanılmasını gördüğünü bildiren GuidePoint Security tarafından gözlemlendi.
Raporda, “Bu davranışı son Akira fidye yazılımı IR vakalarındaki yaygınlığı nedeniyle işaretliyoruz. Bu yüksek doğruluk göstergesi proaktif algılama ve geriye dönük tehdit avı için kullanılabilir.”
Savunucuların bu saldırıları tespit etmesine ve engellemelerine yardımcı olmak için, GuidePoint Security, HLPDRV.SYS için bir Yara kuralı ve her iki sürücü için de uzlaşma (IOCS) göstergeleri, hizmet adları ve bırakıldıkları dosya yolları sağlamıştır.
Akira Sonicwall SSLVPN’ye saldırılar
Akira fidye yazılımı son zamanlarda bilinmeyen bir kusur olduğuna inanılan şeyleri kullanarak Sonicwall VPN’lerine yönelik saldırılara bağlandı.
GuidePoint Security, Akira fidye yazılımı operatörleri tarafından Sonicwall VPN’lerinde sıfır gün güvenlik açığının kullanılmasını ne onaylayamayacağını veya çürütmediğini söylüyor.
Yüksek hücum faaliyeti hakkındaki raporlara yanıt olarak Sonicwall, SSLVPN’yi devre dışı bırakmayı veya kısıtlamayı, çok faktörlü kimlik doğrulamayı (MFA) uygulamayı, botnet/geo-IP korumasını etkinleştirmeyi ve kullanılmayan hesapların kaldırılmasını tavsiye etti.
Bu arada, DFIR raporu, BT yazılım araçlarının truva atı MSI montajcıları aracılığıyla teslim edilen Bumblebee kötü amaçlı yazılım yükleyicisinin kullanımını vurgulayan son Akira fidye yazılımı saldırılarının bir analizini yayınladı.
Bir örnek, SEO zehirlenmesinin kurbanı kötü amaçlı siteye yönlendirdiği “Managine Opmanager” için arama yapmayı içerir.[.]Pro.
.jpg)
Kaynak: Kabar Raporu
Bumblebee DLL sideloading yoluyla başlatılır ve C2 iletişimi kurulduktan sonra, kalıcı erişim için adaptixc2’yi düşürür.
Saldırganlar daha sonra iç keşif yapar, ayrıcalıklı hesaplar oluşturur ve FileZilla kullanarak verileri sunarken, Rustdesk ve SSH tünelleri aracılığıyla erişimi sürdürür.
Yaklaşık 44 saat sonra, alanlar boyunca sistemleri şifrelemek için ana Akira Fidye yazılımı yükü (Locker.exe) dağıtılır.
Sonicwall VPN durumu temizlenene kadar, sistem yöneticileri Akira ile ilgili aktiviteyi izlemeli ve güvenlik araştırmalarından gösterimler ortaya çıktıkça filtreler ve bloklar uygulamalıdır.
Ayrıca, taklit siteleri kötü amaçlı yazılım için ortak bir kaynak haline geldiğinden, yalnızca resmi sitelerden ve aynalardan yazılım indirmeniz de şiddetle tavsiye edilir.
Şifre mağazalarını hedefleyen kötü amaçlı yazılımlar, saldırganlar gizli mükemmel soygun senaryolarını yürütürken, kritik sistemleri sızdırarak ve sömürerek 3 kat arttı.
Saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 Miter ATT & CK tekniklerini keşfedin.