Рансомвар Akira: Хакеры отключают защиту Windows за минуту

В последние недели мир кибербезопасности внимательно следит за новым триумфом вымогательского вируса Akira. Эта вредоносная программа прославилась тем, как ловко проникает в компании через уязвимости популярных сетевых устройств — особенно VPN-устройств SonicWall SSL. Но на этом приключения только начинаются: ведь даже если взломщик оказался в вашей системе, ему всё равно придётся пробиваться сквозь антивирусы и средства корпоративной защиты — те самые, о которых ИТ-отделы любят рассказывать на совещаниях.

Исследователи безопасности из Guidepoint Security раскрыли, как Akira побеждает защитные механизмы ОС Windows. Главная фишка атаки — приносить с собой два драйвера. Один из них, rwdrv.sys — вполне законный и используется в утилите ThrottleStop (инструмент для разгона процессоров Intel). Второй драйвер (hlpdrv.sys) регистрируется как служба, меняет настройки безопасности Windows Defender и позволяет отключить антивирусную защиту.

Замысел таков: сначала запускается rwdrv.sys, затем он помогает внедрить hlpdrv.sys — и вот Defender побеждён, дорожка для шифровальщика открыта. Хоть эксперты пока не поняли точный способ взаимодействия этих драйверов, факт остаётся: защита Windows оказывается бесполезной.

Тревога профессионалов вызвана тем, что атаки фиксируют даже на устройствах, для которых уже выходили патчи. Это породило слухи о неуловимом новом способе обхода защиты — так называемой zero-day уязвимости. Однако позже производитель SonicWall заявил: всё куда прозаичнее, злоумышленники используют известную и уже описанную дыру (CVE-2024-40766). Жертвами становится узкий круг пользователей — меньше 40 организаций — в процессе перехода с прошлых версий устройств (Gen 6) на новые (Gen 7), причём атаки происходят из-за старых паролей, которые не сменили вовремя.

SonicWall призывает всех срочно обновлять устройства до SonicOS 7.3.0 и включать многофакторную аутентификацию — может, тогда хотя бы кому-то удастся избежать встречи с Akira.