Siber güvenlik firması GuidePoint Security’nin yeni bir raporu, Akira Ransomware Group tarafından bilgisayar ağlarına saldırmak için kullanılan akıllı yeni bir yöntem ortaya koyuyor. Araştırmacılar, sistemlere ilk erişimin ardından, bilgisayar korsanlarının fidye yazılımlarını dağıtmadan önce önemli bir adım olan güvenlik araçlarını gizlice devre dışı bırakmak için iki özel yazılım sürücüsü kullandıklarını buldular.
Hackread.com ile paylaşılan GuidePoint Security’nin keşfi, Temmuz ayından bu yana Sonicwall VPN’lerinde güvenlik kusurlarından yararlanan Akira’nın son saldırılarında tekrar tekrar gözlemlendiği için yüksek öncelikli bir bulgu olarak kabul edilmektedir. Bu yeni içgörü, şirketlere büyük hasara neden olmadan önce bu saldırıları bulma ve durdurma şansı verir. Hacking grubunun etkinliği en az 15 Temmuz 2025’e kadar izlendi.
Bilgisayar korsanları geçmiş savunmaları nasıl gizliyor?
Raporda, Sonicwall VPN’lerindeki güvenlik açıklarından yararlanarak bilgisayar korsanlarının nasıl giriş kazandığını açıklıyor. İçeri girdikten sonra, bir bilgisayarın donanım ve yazılımının iletişim kurmasına yardımcı olan küçük yazılım programları olan iki sürücü kullanırlar.
RWDRV.SYS adlı sürücülerden biri, aslında Intel CPU’lar için bir performans aracından meşru bir dosya, ancak bilgisayar korsanları etkilenen cihaza güçlü, çekirdek düzeyinde erişim elde etmek için bunu kötüye kullanıyor. Bu onlara bilgisayarın işlemleri üzerinde derin kontrol sağlar.
İkinci sürücü HLPDRV.sys kötü niyetlidir. İşi, yerleşik antivirüs yazılımı olan Windows Defender’ı özellikle hedeflemek ve devre dışı bırakmaktır. Bu iki sürücüyü belirli bir sırada kullanarak, saldırganlar bir sistemin güvenlik yazılımını etkili bir şekilde kör ederek fidye yazılımlarını başlatmanın yolunu temizleyebilir.
İşletmelere yönelik saldırıların geçmişi
Bu yeni kampanya, Akira’nın güvenlik açıkları yoluyla ilk kez kurumsal ağları hedeflemesi değil. Ağustos 2023’te grup, yetkisiz erişim elde etmek ve fidye yazılımı saldırılarını başlatmak için Cisco VPN ürünlerindeki zayıflıklardan faydalandığı tespit edildi.
Daha yakın zamanlarda, Nisan 2025’te Hackread.com, küçük işletmeler için kişiselleştirilmiş spam mesajları oluşturmak için AI kullanan bir araç olan Akirabot’tan yeni bir spam kampanyası da ele aldı. Bu geçmiş kampanyalar, Akira’nın eğitim ve sağlık hizmetlerinden üretime kadar çok çeşitli endüstriler için kalıcı ve uyarlanabilir bir tehdit olduğunu göstermektedir.
Şirketler ne yapmalı
GuidePoint Security, güvenlik profesyonellerine bu iki sürücüyü sistemlerinde aktif olarak aramalarını şiddetle tavsiye ediyor. Ayrıca, bu çabaya yardımcı olmak için Yara kuralı olarak adlandırılan özel bir kural sağladılar. Güvenlik ekiplerinin bu kötü niyetli sürücülerin benzersiz kalıplarını bulmak için sistemlerini taramasına yardımcı olan ve hızlı bir şekilde algılama sağlayan bir araçtır.
Ayrı ayrı, Sonicwall müşteriler için kendi tavsiyelerini yayınladı, daha güvenli, VPN’ye bağlanabilecek ve tüm güvenlik hizmetlerinin açıldığından emin olmak için daha güvenli bir şekilde oturum açma işlemini yapmak için çok faktörlü kimlik doğrulama (MFA) kullanmayı önerdi.