Активность программы-вымогателя Akira вызывает беспокойство

В ходе последней кампании с использованием вредоносного ПО Akira злоумышленники сумели воспользоваться легитимным драйвером настройки процессоров Intel, чтобы отключить встроенный антивирус Microsoft Defender на Windows 11. Атака демонстрирует эффективность техники BYOVD, когда атакующие используют уязвимый драйвер, чтобы проникнуть в систему.

Как работает схема атаки

Ключевым элементом этой схемы является подписанный драйвер rwdrv.sys, обычно используемый программой ThrottleStop для повышения производительности ЦП Intel. После регистрации rwdrv.sys в виде службы злоумышленники получают доступ на уровне ядра, что позволяет загрузить вторичный вредоносный драйвер hlpdrv.sys. Этот второй драйвер вмешивается в работу Microsoft Defender, изменяя ключ реестра DisableAntiSpyware с помощью regedit.exe, что приводит к отключению антивирусной защиты.

Специалисты из Guidepoint Security дали детальное описание этого подхода и предложили YARA-правила, а также индикаторы компрометации, которые помогут защитить системы. Они рекомендуют внимательно следить за активностью, связанной с Akira, внедрять фильтры и блокировки по мере появления новых индикаторов угроз, и скачивать программное обеспечение только с проверенных источников.

Меры по обеспечению безопасности

Исследователи уверены, что своевременное обнаружение активности Akira позволило минимизировать потенциальный ущерб и разработать эффективные меры по снижению рисков. Тем не менее, они подчеркивают важность бдительности и постоянного мониторинга, чтобы предупредить новые угрозы. Призывы к осторожности в отношении источников программного обеспечения остаются актуальными как никогда. Это подчеркивает важность доверенных источников для загрузки ПО с целью минимизации рисков заражения.

Обновлено: 21.08.2025