Новый драйвер — прощай, защита. Теперь даже Defender играет на стороне хакеров

Атаки с применением программы-вымогателя Akira становятся всё изощрённее: злоумышленники начали использовать легитимный драйвер настройки процессора Intel для отключения защиты Windows.

Речь идёт о rwdrv.sys, входящем в состав утилиты ThrottleStop. Благодаря регистрации этого драйвера как системной службы, атакующие получают доступ к ядру Windows, обходя традиционные механизмы защиты, включая антивирусы и средства обнаружения угроз на уровне EDR .

На этом этапе запускается второй компонент — вредоносный драйвер hlpdrv.sys, также оформленный как служба. Он напрямую взаимодействует с настройками Windows Defender, внося изменения в параметр DisableAntiSpyware, расположенный в системном реестре по пути \REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware. Для этого используется вызов стандартного средства regedit.exe, что позволяет отключить встроенную защиту без привлечения внимания администратора.

Такой подход классифицируется как BYOVD -атака (Bring Your Own Vulnerable Driver), при которой легитимный, но уязвимый драйвер используется как «троянский конь» для внедрения вредоносного кода в систему. Используемые драйверы имеют цифровую подпись, что затрудняет их блокировку стандартными средствами безопасности.

Специалисты из GuidePoint Security обратили внимание на резкое увеличение числа инцидентов с участием rwdrv.sys, начиная с 15 июля 2025 года. По их данным, этот компонент стал устойчивым индикатором активности группы, распространяющей Akira. Для помощи специалистам по кибербезопасности были опубликованы правила YARA, а также набор индикаторов компрометации — включая имена служб и пути размещения используемых файлов.

В ходе других атак, связанных с той же группировкой, был зафиксирован новый вектор проникновения — эксплуатация уязвимостей в устройствах SonicWall VPN. Хотя прямое подтверждение использования неизвестной уязвимости отсутствует, GuidePoint Security не исключает вариант, при котором злоумышленники эксплуатируют ранее не раскрытую брешь в SSLVPN. В ответ SonicWall рекомендовала временно отключить или ограничить доступ к SSLVPN, активировать двухфакторную аутентификацию, задействовать защиту на основе геолокации и бот-сетей, а также удалить неиспользуемые учётные записи.

Помимо этого, был зафиксирован кейс заражения через фальшивые сайты, маскирующиеся под страницы скачивания популярных IT-продуктов. Один из примеров — фальшивый ресурс opmanager[.]pro, который появлялся в поисковой выдаче Bing по запросу «ManageEngine OpManager». После перехода на этот сайт пользователь получал вредоносный MSI-файл, содержащий загрузчик Bumblebee .

Последний, в свою очередь, использовал технику DLL S ideloading для запуска, а затем устанавливал программу удалённого доступа AdaptixC2, обеспечивая устойчивый канал взаимодействия. После этого происходило сканирование внутренней сети, создание учётных записей с расширенными правами, выгрузка данных через FileZilla и установка постоянного доступа с помощью RustDesk и туннелей SSH.

Как правило, от начального заражения до шифрования всех устройств домена проходит около 44 часов. Финальная стадия атаки — запуск исполняемого файла locker.exe, содержащего основной шифратор Akira.

Пока ситуация с уязвимостями SonicWall остаётся неясной, системным администраторам рекомендуется отслеживать возможную активность, связанную с Akira , и оперативно реагировать на появление новых индикаторов. Кроме того, стоит избегать загрузки программного обеспечения с непроверенных сайтов — имитация официальных ресурсов остаётся одним из самых эффективных каналов доставки вредоносного ПО.