- Os especialistas alertam a Akira está usando VPNs Sonicwall para implantar dois drivers
- Um é um motorista legítimo e vulnerável que permite que o outro seja executado
- O outro desativa as ferramentas de proteção de antivírus e terminais
A Akira Ransomware dominou as manchetes recentemente devido ao abuso de VPNs SSL SSL SONSWALL para obter acesso inicial e implantar um criptografia.
No entanto, embora o acesso inicial seja importante, ainda não é suficiente infectar um dispositivo, especialmente se estiver protegido por um antivírus ou uma solução de proteção e resposta para terminais (EDR).
Agora, os pesquisadores de segurança da GuidePoint Security acreditam que viram exatamente como a Akira desativa as soluções de segurança, o que lhes permite abandonar o ransomware.
Um punhado de alvos
Em um relatório recente, os pesquisadores do GuidePoint descreveram como Akira está envolvido em um ataque de tração de trazer-seu-vulnerable (BYOD), usando o acesso inicial para soltar dois motoristas, um dos quais é legítimo.
“O primeiro driver, RWDRV.SYS, é um motorista legítimo para o ThrottleStop. Esse utilitário de ajuste e monitoramento baseado no Windows é projetado principalmente para CPUs Intel”, explicou os pesquisadores. “É frequentemente usado para substituir os mecanismos de limitação da CPU, melhorar o desempenho e monitorar o comportamento do processador em tempo real”.
O segundo driver, hlpdrv.sys é registrado como um serviço, mas, quando executado, ele modifica as configurações de desababiltismo do Windows Defender no registro do sistema.
“Avaliamos que o motorista legítimo do RWDRV.SYS pode ser usado para permitir a execução do motorista malicioso hlpdrv.sys, embora não tenhamos sido incapazes de reproduzir o mecanismo de ação exato no momento”, disseram os especialistas.
Vários pesquisadores observaram ataques provenientes de Sonicwall SSL VPN e, como alguns dos casos foram totalmente remendados, eles especularam que os atores de ameaças poderiam estar explorando uma vulnerabilidade de dias zero.
No entanto, em comunicado compartilhado com o TechRadar Pro, Sonicwall disse que os criminosos estavam realmente explorando uma vulnerabilidade do dia n.
“Com base nas descobertas atuais, temos muita confiança de que essa atividade está relacionada ao CVE-2024-40766, que foi divulgado e documentado anteriormente em nosso SNWLID-2024-0015, não um novo dia zero ou vulnerabilidade desconhecida”, disse a empresa.
“A população afetada é pequena, menos de 40 casos confirmados e parece estar ligada ao uso de credenciais herdados durante as migrações da geração 6 para os firewalls da geração 7. Emitimos orientações atualizadas, incluindo etapas para alterar as credenciais e atualizar para o Sonicos 7.3.0, que inclui proteções aprimoradas de MFA.”
Via BleepingComputer
Fique conectado