Koelman.IT

Stay Hungry, Stay Foolish 💡


Akira ransomware gebruikt CPU-afstemmingshulpmiddel om Microsoft Defender uit te schakelen

Akira-ransomware misbruikt Intel-driver om Microsoft Defender uit te schakelen

Nieuwe dreiging ontdekt

Akira-ransomware maakt gebruik van een legitieme Intel CPU-driver om Microsoft Defender en andere beveiligingstools op doelcomputers uit te schakelen. Deze aanpak, bekend als ‘Bring Your Own Vulnerable Driver’ (BYOVD), misbruikt de ‘rwdrv.sys’-driver van ThrottleStop om toegang op kernel-niveau te krijgen.

Deze driver wordt vervolgens gebruikt om een tweede, kwaadaardige driver genaamd ‘hlpdrv.sys’ te laden. Deze manipuleert de instellingen van Windows Defender om zijn bescherming uit te schakelen. Onderzoekers van Guidepoint Security zagen sinds 15 juli 2025 herhaald misbruik van deze methode in Akira-aanvallen. Ze waarschuwen voor deze tactiek als een belangrijk herkenningspunt voor dreigingsdetectie.

Guidepoint Security biedt YARA-regels voor detectie en geeft indicatoren van compromittering (IoCs) voor deze drivers. Dit helpt beveiligers om aanvallen tijdig op te sporen en tegen te houden.

Akira-aanvallen op SonicWall SSLVPN

Recent is Akira-ransomware ook gelinkt aan aanvallen op SonicWall VPNs, mogelijk door een onbekend beveiligingslek. Hoewel Guidepoint Security het gebruik van een zero-day-kwetsbaarheid niet kon bevestigen, adviseert SonicWall om voorzorgsmaatregelen te nemen. Dit omvat het beperken van SSLVPN, het afdwingen van multi-factor authenticatie, en het inschakelen van Botnet/Geo-IP-bescherming.

Tegelijkertijd rapporteert The DFIR Report dat Akira-ransomware vaak gebruikmaakt van de Bumblebee-malware via besmette MSI-installers van IT-tools. Ze benadrukken een casus waarbij SEO-manipulatie slachtoffers naar een gevaarlijke website leidde. Bumblebee wordt ingezet via DLL-sideloading en zorgt voor langdurige toegang door AdaptixC2 te installeren.

De aanvallers voeren intern onderzoek uit, creëren geprivilegieerde accounts en stelen data met FileZilla. Na ongeveer 44 uur wordt de hoofd-Akira-ransomware (locker.exe) geactiveerd om systemen te versleutelen.

Zolang de situatie met SonicWall VPN niet is opgelost, moeten systeembeheerders alert zijn op Akira-activiteiten en beveiligingsmaatregelen nemen. Het is ook cruciaal om software alleen van officiële bronnen te downloaden, omdat imitatiesites veelvoorkomende malwarebronnen zijn geworden.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.