- 19,614
- 44
- 8 Ноя 2022
Akira шифрует всё за 44 часа, а жертва даже не заметила, как отключился антивирус.
Атаки с применением программы-вымогателя Akira становятся всё изощрённее: злоумышленники начали использовать легитимный драйвер настройки процессора Intel для отключения защиты Windows.
Речь идёт о <code>rwdrv.sys</code>, входящем в состав утилиты ThrottleStop. Благодаря регистрации этого драйвера как системной службы, атакующие получают доступ к ядру Windows, обходя традиционные механизмы защиты, включая антивирусы и средства обнаружения угроз на уровне Для просмотра ссылки Войдиили Зарегистрируйся .
На этом этапе запускается второй компонент — вредоносный драйвер <code>hlpdrv.sys</code>, также оформленный как служба. Он напрямую взаимодействует с настройками Windows Defender, внося изменения в параметр <code>DisableAntiSpyware</code>, расположенный в системном реестре по пути <code>\REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware</code>. Для этого используется вызов стандартного средства <code>regedit.exe</code>, что позволяет отключить встроенную защиту без привлечения внимания администратора.
Такой подход классифицируется как Для просмотра ссылки Войдиили Зарегистрируйся -атака (Bring Your Own Vulnerable Driver), при которой легитимный, но уязвимый драйвер используется как «троянский конь» для внедрения вредоносного кода в систему. Используемые драйверы имеют цифровую подпись, что затрудняет их блокировку стандартными средствами безопасности.
Специалисты из GuidePoint Security Для просмотра ссылки Войдиили Зарегистрируйся внимание на резкое увеличение числа инцидентов с участием <code>rwdrv.sys</code>, начиная с 15 июля 2025 года. По их данным, этот компонент стал устойчивым индикатором активности группы, распространяющей Akira. Для помощи специалистам по кибербезопасности были опубликованы правила YARA, а также набор индикаторов компрометации — включая имена служб и пути размещения используемых файлов.
В ходе других атак, связанных с той же группировкой, был зафиксирован новый вектор проникновения — эксплуатация уязвимостей в устройствах Для просмотра ссылки Войдиили Зарегистрируйся <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>. Хотя прямое подтверждение использования неизвестной уязвимости отсутствует, GuidePoint Security не исключает вариант, при котором злоумышленники эксплуатируют ранее не раскрытую брешь в SSLVPN. В ответ SonicWall Для просмотра ссылки Войди или Зарегистрируйся временно отключить или ограничить доступ к SSLVPN, активировать двухфакторную аутентификацию, задействовать защиту на основе геолокации и бот-сетей, а также удалить неиспользуемые учётные записи.
Помимо этого, был Для просмотра ссылки Войдиили Зарегистрируйся кейс заражения через фальшивые сайты, маскирующиеся под страницы скачивания популярных IT-продуктов. Один из примеров — фальшивый ресурс <code>opmanager[.]pro</code>, который появлялся в поисковой выдаче Bing по запросу «ManageEngine OpManager». После перехода на этот сайт пользователь получал вредоносный MSI-файл, содержащий загрузчик Для просмотра ссылки Войди или Зарегистрируйся .
Последний, в свою очередь, использовал технику Для просмотра ссылки Войдиили Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся для запуска, а затем устанавливал программу удалённого доступа AdaptixC2, обеспечивая устойчивый канал взаимодействия. После этого происходило сканирование внутренней сети, создание учётных записей с расширенными правами, выгрузка данных через Для просмотра ссылки Войди или Зарегистрируйся и установка постоянного доступа с помощью RustDesk и туннелей SSH.
Как правило, от начального заражения до шифрования всех устройств домена проходит около 44 часов. Финальная стадия атаки — запуск исполняемого файла <code>locker.exe</code>, содержащего основной шифратор Akira.
Пока ситуация с уязвимостями SonicWall остаётся неясной, системным администраторам рекомендуется отслеживать возможную активность, связанную с Для просмотра ссылки Войдиили Зарегистрируйся , и оперативно реагировать на появление новых индикаторов. Кроме того, стоит избегать загрузки программного обеспечения с непроверенных сайтов — имитация официальных ресурсов остаётся одним из самых эффективных каналов доставки вредоносного ПО.
Атаки с применением программы-вымогателя Akira становятся всё изощрённее: злоумышленники начали использовать легитимный драйвер настройки процессора Intel для отключения защиты Windows.
Речь идёт о <code>rwdrv.sys</code>, входящем в состав утилиты ThrottleStop. Благодаря регистрации этого драйвера как системной службы, атакующие получают доступ к ядру Windows, обходя традиционные механизмы защиты, включая антивирусы и средства обнаружения угроз на уровне Для просмотра ссылки Войди
На этом этапе запускается второй компонент — вредоносный драйвер <code>hlpdrv.sys</code>, также оформленный как служба. Он напрямую взаимодействует с настройками Windows Defender, внося изменения в параметр <code>DisableAntiSpyware</code>, расположенный в системном реестре по пути <code>\REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware</code>. Для этого используется вызов стандартного средства <code>regedit.exe</code>, что позволяет отключить встроенную защиту без привлечения внимания администратора.
Такой подход классифицируется как Для просмотра ссылки Войди
Специалисты из GuidePoint Security Для просмотра ссылки Войди
В ходе других атак, связанных с той же группировкой, был зафиксирован новый вектор проникновения — эксплуатация уязвимостей в устройствах Для просмотра ссылки Войди
Помимо этого, был Для просмотра ссылки Войди
Последний, в свою очередь, использовал технику Для просмотра ссылки Войди
Как правило, от начального заражения до шифрования всех устройств домена проходит около 44 часов. Финальная стадия атаки — запуск исполняемого файла <code>locker.exe</code>, содержащего основной шифратор Akira.
Пока ситуация с уязвимостями SonicWall остаётся неясной, системным администраторам рекомендуется отслеживать возможную активность, связанную с Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
