Güvenlik araştırmacıları, Sonicwall VPN altyapısını hedeflerken antivirüs ve uç nokta algılama sistemlerinden kaçınmak için meşru pencereler sürücülerini kullanan Akira fidye yazılım operatörleri tarafından istihdam edilen sofistike yeni bir taktik belirlediler.
Bu gelişme, grubun teknik yeteneklerinde önemli bir artışı temsil eder ve kurumsal siber güvenlik savunmaları için ciddi zorluklar yaratır.
Kampanya Genel Bakış ve Zaman Çizelgesi
Temmuz sonundan Ağustos 2025’in başlarına kadar, birden fazla güvenlik satıcısı, Sonicwall VPN’lerini hedefleyen Akira fidye yazılımı saldırılarında bir artış belgeledi.
Kampanya, Sonicwall’un SSL VPN altyapısındaki potansiyel sıfır günlük güvenlik açıkları ile ilgili endişeleri artırdı, ancak şirket raporları belirli güvenlik açıklarını onaylamadan kabul etti.
GuidePoint Security’nin olay müdahale ekipleri, birden fazla Akira vakasında tutarlı kalıplar gözlemlemiştir ve grubun saldırı metodolojilerinin bir parçası olarak iki özel Windows sürücüsünün sistematik kullanımını ortaya çıkarmıştır.
Bu, çekirdek düzeyinde erişim sağlamak ve güvenlik korumalarını devre dışı bırakmak için tasarlanmış sofistike bir “kendi savunmasız sürücünüzü getir” (BYOVD) saldırı zincirini temsil eder.
Teknik Saldırı Metodolojisi
İlk sürücü RWDRV.SYS, Intel işlemciler için meşru bir Windows performans ayarlama yardımcı programı olan ThrottLestop’tan kaynaklanıyor.
Akira iştirakleri, bu sürücüyü tehlikeye atılan sistemlere ayrıcalıklı çekirdek düzeyinde erişim elde etmek için bir hizmet olarak kaydediyor.
Tipik olarak CPU performans izleme ve kısma geçersiz kılma için kullanılan bu meşru araç, tehdit aktörleri tarafından silahlandırıldığında kötü niyetli faaliyetler için bir yol haline gelir.
İkinci bileşen olan hlpdrv.sys, birincil kaçırma mekanizması olarak hizmet eder.
Yürütüldükten sonra, bu kötü niyetli sürücü, Windows Defender’ın kayıt defteri ayarlarını doğrudan değiştirir ve özellikle Windows Defender Politikaları Kayıt Defteri Hive’daki DePafeandispyware yapılandırmasını hedefler.
Kötü amaçlı yazılım, Regedit.exe komutlarının otomatik olarak yürütülmesi yoluyla, Windows’un birincil güvenlik mekanizmalarından birini etkili bir şekilde etkisiz hale getirerek gerçekleştirir.
Güvenlik araştırmacıları, meşru RWDRV.SYS sürücüsünün kötü amaçlı HLPDRV.SYS sürücüsünün yürütülmesini sağladığına inanıyor, ancak kesin teknik mekanizma araştırılıyor.
Kötü niyetli sürücü SHA256 karma BD1F381E5A3DB22E88776B7873D4D2B1DA0C58F81C84A56 Ticari Koşul Alıntıları depoları boyunca kataloglanmıştır.
Sonicwall, VPN altyapılarını kullanan kuruluşlar için kapsamlı güvenlik önerileri yayınladı.
Kritik önlemler arasında, VPN bağlantısını güvenilir IP adreslerine kısıtlayan, çok faktörlü kimlik doğrulamasının uygulanması ve botnet koruması ve GEO-IP filtreleme gibi gelişmiş güvenlik özelliklerinin sağlanması olan SSLVPN hizmetlerinin devre dışı bırakılması yer alır.
Bu sürücülerin birden fazla Akira olayında yaygınlığı, güvenlik araştırmacılarını özel YARA algılama kuralları geliştirmeye itmiştir.
Bu imzalar kötü amaçlı HLPDRV.SYS sürücüsünün PE yapısı, ithalat fonksiyonları ve gömülü dizeler de dahil olmak üzere, proaktif tehdit avı ve olay tepki yeteneklerini mümkün kılan benzersiz özelliklere odaklanır.
Bu kampanya, meşru idari araçların modern güvenlik mimarilerini atlatmak isteyen siber suçluların elinde silah haline geldiği fidye yazılımı operasyonlarının gelişen sofistike olmasının altını çiziyor.
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir