MISTER X
Гуру проекта
Команда форума
Судья
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Координатор арбитражей
Akira шифрует всё за 44 часа, а жертва даже не заметила, как отключился антивирус.
Атаки с применением программы-вымогателя Akira становятся всё изощрённее: злоумышленники начали использовать легитимный драйвер настройки процессора Intel для отключения защиты Windows.
Речь идёт о
На этом этапе запускается второй компонент — вредоносный драйвер
Такой подход классифицируется как -атака (Bring Your Own Vulnerable Driver), при которой легитимный, но уязвимый драйвер используется как «троянский конь» для внедрения вредоносного кода в систему. Используемые драйверы имеют цифровую подпись, что затрудняет их блокировку стандартными средствами безопасности.
Специалисты из GuidePoint Security внимание на резкое увеличение числа инцидентов с участием
В ходе других атак, связанных с той же группировкой, был зафиксирован новый вектор проникновения — эксплуатация уязвимостей в устройствах VPN. Хотя прямое подтверждение использования неизвестной уязвимости отсутствует, GuidePoint Security не исключает вариант, при котором злоумышленники эксплуатируют ранее не раскрытую брешь в SSLVPN. В ответ SonicWall временно отключить или ограничить доступ к SSLVPN, активировать двухфакторную аутентификацию, задействовать защиту на основе геолокации и бот-сетей, а также удалить неиспользуемые учётные записи.
Помимо этого, был кейс заражения через фальшивые сайты, маскирующиеся под страницы скачивания популярных IT-продуктов. Один из примеров — фальшивый ресурс
Последний, в свою очередь, использовал технику для запуска, а затем устанавливал программу удалённого доступа AdaptixC2, обеспечивая устойчивый канал взаимодействия. После этого происходило сканирование внутренней сети, создание учётных записей с расширенными правами, выгрузка данных через и установка постоянного доступа с помощью RustDesk и туннелей SSH.
Как правило, от начального заражения до шифрования всех устройств домена проходит около 44 часов. Финальная стадия атаки — запуск исполняемого файла
Пока ситуация с уязвимостями SonicWall остаётся неясной, системным администраторам рекомендуется отслеживать возможную активность, связанную с , и оперативно реагировать на появление новых индикаторов. Кроме того, стоит избегать загрузки программного обеспечения с непроверенных сайтов — имитация официальных ресурсов остаётся одним из самых эффективных каналов доставки вредоносного ПО.
Атаки с применением программы-вымогателя Akira становятся всё изощрённее: злоумышленники начали использовать легитимный драйвер настройки процессора Intel для отключения защиты Windows.
Речь идёт о
rwdrv.sys, входящем в состав утилиты ThrottleStop. Благодаря регистрации этого драйвера как системной службы, атакующие получают доступ к ядру Windows, обходя традиционные механизмы защиты, включая антивирусы и средства обнаружения угроз на уровне
. На этом этапе запускается второй компонент — вредоносный драйвер
hlpdrv.sys, также оформленный как служба. Он напрямую взаимодействует с настройками Windows Defender, внося изменения в параметр DisableAntiSpyware, расположенный в системном реестре по пути \REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware. Для этого используется вызов стандартного средства regedit.exe, что позволяет отключить встроенную защиту без привлечения внимания администратора. Такой подход классифицируется как -атака (Bring Your Own Vulnerable Driver), при которой легитимный, но уязвимый драйвер используется как «троянский конь» для внедрения вредоносного кода в систему. Используемые драйверы имеют цифровую подпись, что затрудняет их блокировку стандартными средствами безопасности.
Специалисты из GuidePoint Security внимание на резкое увеличение числа инцидентов с участием
rwdrv.sys, начиная с 15 июля 2025 года. По их данным, этот компонент стал устойчивым индикатором активности группы, распространяющей Akira. Для помощи специалистам по кибербезопасности были опубликованы правила YARA, а также набор индикаторов компрометации — включая имена служб и пути размещения используемых файлов. В ходе других атак, связанных с той же группировкой, был зафиксирован новый вектор проникновения — эксплуатация уязвимостей в устройствах VPN. Хотя прямое подтверждение использования неизвестной уязвимости отсутствует, GuidePoint Security не исключает вариант, при котором злоумышленники эксплуатируют ранее не раскрытую брешь в SSLVPN. В ответ SonicWall временно отключить или ограничить доступ к SSLVPN, активировать двухфакторную аутентификацию, задействовать защиту на основе геолокации и бот-сетей, а также удалить неиспользуемые учётные записи.
Помимо этого, был кейс заражения через фальшивые сайты, маскирующиеся под страницы скачивания популярных IT-продуктов. Один из примеров — фальшивый ресурс
opmanager[.]pro, который появлялся в поисковой выдаче Bing по запросу «ManageEngine OpManager». После перехода на этот сайт пользователь получал вредоносный MSI-файл, содержащий загрузчик
. Последний, в свою очередь, использовал технику для запуска, а затем устанавливал программу удалённого доступа AdaptixC2, обеспечивая устойчивый канал взаимодействия. После этого происходило сканирование внутренней сети, создание учётных записей с расширенными правами, выгрузка данных через и установка постоянного доступа с помощью RustDesk и туннелей SSH.
Как правило, от начального заражения до шифрования всех устройств домена проходит около 44 часов. Финальная стадия атаки — запуск исполняемого файла
locker.exe, содержащего основной шифратор Akira. Пока ситуация с уязвимостями SonicWall остаётся неясной, системным администраторам рекомендуется отслеживать возможную активность, связанную с , и оперативно реагировать на появление новых индикаторов. Кроме того, стоит избегать загрузки программного обеспечения с непроверенных сайтов — имитация официальных ресурсов остаётся одним из самых эффективных каналов доставки вредоносного ПО.
