Эксперты обнаружили новую тактику группировки Akira при атаках через уязвимости SonicWall VPN

Контекст атак

С конца июля по начало августа 2025 года несколько компаний, занимающихся кибербезопасностью, сообщили о серии инцидентов, где злоумышленники использовали VPN-решения SonicWall для развертывания шифровальщика Akira. Хотя часть экспертного сообщества предполагает наличие нераскрытой уязвимости нулевого дня (zero-day) в устройствах SonicWall, производитель официально не подтвердил эту информацию. SonicWall признал факты атак, выпустив рекомендации по усилению защиты, включая отключение сервисов SSLVPN (где это возможно), ограничение доступа VPN по доверенным IP-адресам, включение защиты от ботнетов и Geo-IP фильтрации, обязательное использование многофакторной аутентификации (MFA), удаление неиспользуемых учетных записей и соблюдение строгой парольной политики.

Механизм работы вредоносных драйверов

В ходе расследования нескольких инцидентов специалисты GuidePoint Incident Response выявили устойчивую схему, применяемую аффилированными с Akira лицами. Злоумышленники внедряют два специфических драйвера Windows, используя технику "Bring Your Own Vulnerable Driver" (BYOVD) для отключения или обхода защитных решений:

1. Драйвер rwdrv.sys: Легитимный драйвер, связанный с утилитой мониторинга и настройки производительности процессоров Intel ThrottleStop. Злоумышленники регистрируют его как системную службу. По оценке экспертов, его основная цель - получение злоумышленниками привилегий уровня ядра операционной системы (kernel-level access), что критически ослабляет защиту атакуемого устройства.
2. Драйвер hlpdrv.sys: Вредоносный компонент, также регистрируемый как служба. После выполнения он целенаправленно отключает защитные функции Windows Defender путем модификации системного реестра. Конкретно, драйвер изменяет параметр "DisableAntiSpyware" по пути "\REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\". Для этого используется запуск системной утилиты "regedit.exe". Аналитики предполагают, что легитимный "rwdrv.sys" может использоваться для обеспечения выполнения вредоносного "hlpdrv.sys", хотя точный механизм взаимодействия пока не воспроизведен. Известен SHA-256 хэш вредоносного файла: bd1f381e5a3db22e88776b7873d4d2835e9a1ec620571d2b1da0c58f81c84a56.

Значимость обнаружения и рекомендации

GuidePoint Security подчеркивает высокую частоту использования данной связки драйверов в недавних инцидентах с вымогателем Akira. Это делает их надежным индикатором компрометации (IoC). Эксперты предлагают использовать эти данные как для упреждающего обнаружения атак на ранних стадиях (до запуска шифрования), так и для ретроспективного поиска угроз в логах систем. Для помощи защитникам компания опубликовала YARA-правило, разработанное на основе анализа строковых констант, условий и импортов вредоносного драйвера "hlpdrv.sys".

Специалисты настоятельно рекомендуют организациям, использующим SonicWall VPN, незамедлительно применить комплекс мер, предложенных производителем: отключить SSLVPN-сервисы при возможности, ограничить подключения к SSLVPN доверенными IP-адресами, активировать защиту от ботнетов и Geo-IP фильтрацию, внедрить строгую многофакторную аутентификацию, удалить неактивные учетные записи и обеспечить соблюдение строгой парольной гигиены.

Поиск в системных журналах упомянутых драйверов ("rwdrv.sys" и "hlpdrv.sys"), а также применение YARA-правила могут стать ключевыми действиями для выявления активности злоумышленников на этапе подготовки к атаке или в ходе реагирования на инцидент. Первые случаи использования этой тактики датируются как минимум 15 июля 2025 года. Мониторинг за появлением этих драйверов в системе рассматривается экспертами как критически важный элемент защиты от текущей волны атак группировки Akira.

SHA256

• 16f83f056177c4ec24c7e99d01ca9d9d6713bd0497eeedb777a3ffefa99c97f0
• bd1f381e5a3db22e88776b7873d4d2835e9a1ec620571d2b1da0c58f81c84a56