Windows Defender skapitulował. Ten atak przechodzi przez niego jak przez masło
Eksperci z GuidePoint Security odkryli, że grupa Akira ransomware zaczęła wykorzystywać technikę Bring‑Your‑Own‑Vulnerable‑Driver (BYOVD), aby ominąć ochronę systemu Windows.
Badacze z GuidePoint Security zaobserwowali, że cyberprzestępcy zaczęli z powodzeniem stosować nową metodę przebicia się przez osłonę systemów Windows. W tym celu stosują już wcześniej znany trik, ale robią to na tyle skutecznie i pomysłowo, że Windows Defender nie ma szans.
Jak działa atak BYOVD i co to oznacza
Okazuje się, że żeby pokonać barierę systemu Windows, wystarczy zarejestrować legalny sterownik rwdrv.sys (pochodzący z narzędzia ThrottleStop firmy Intel) jako usługę, co umożliwia im dostęp do jądra systemu. Następnie używają złośliwego sterownika hlpdrv.sys, który modyfikuje klucz rejestru Windows, skutecznie wyłączając ochronę Defendera.
Technika BYOVD pozwala wykorzystać zaufane, ale podatne sterowniki do eskalacji przywilejów i obezwładniania systemów antywirusowych. GuidePoint podkreśla, że taka sekwencja działań była wielokrotnie obserwowana w atakach ransomware Akira od połowy lipca 2025 roku. Firma opublikowała reguły YARA oraz wskaźniki kompromitacji (IoC), które mogą pomóc w identyfikacji tych sterowników na zaatakowanych systemach.
Zaobserwowaliśmy, że Akira wykorzystuje dwa powszechne sterowniki jako część próby omijania antywirusa/EDR, po uzyskaniu początkowego dostępu przez nadużycie SonicWall. Ten wskaźnik o wysokiej wiarygodności można wykorzystać do aktywnego wykrywania i analizy po fakcie.
Akira ransomware stosuje więc sprawdzone metody: wykorzystywanie legalnych, ale podatnych sterowników (BYOVD), by obezwładnić Microsoft Defender, a także oprócz tego atakuje poprzez luki w konfiguracjach SonicWall SSL VPN.
Przypadek SonicWall
Równolegle ataki ransomware Akira często zaczynają się poprzez urządzenia SonicWall SSL VPN. Początkowo niektórzy badacze sugerowali, że dostęp uzyskiwany był dzięki nieznanej luce zero‑day. SonicWall poinformował jednak, że nie ma dowodów, by chodziło o nową podatność. Wskazali, że ataki były możliwe dzięki wykorzystaniu wcześniej znanej luki CVE‑2024‑40766 oraz błędom w migracji konfiguracji z Gen 6 do Gen 7, w tym korzystaniu z niezmienionych, odziedziczonych po migracji haseł.
Wplątany w aferę SonicWall zaleca więc natychmiastowe działania zapobiegawcze: wyłączenie lub ograniczenie usługi SSL VPN do zaufanych adresów, reset wszystkich kont z dostępem VPN, włączenie ochrony przed botnetami i filtrowania geograficznego oraz wymuszenie silnych haseł i uwierzytelniania wieloskładnikowego (MFA).
Grzegorz Karaś, dziennikarz pcformat.pl
