Az Akira zsarolóvírus új támadási taktikája komoly aggodalmat kelt a biztonsági szakértők körében: a támadók egy legitim, Intel alapú CPU tuning drivert használnak fel arra, hogy kikapcsolják a Microsoft Defender védelmét az áldozatok rendszerein.
A támadás középpontjában az rwdrv.sys nevű aláírt eszközmeghajtó áll, amelyet a ThrottleStop nevű tuning-program használ. A támadók ezt a drivert szolgáltatásként regisztrálják a rendszerben, így kernel szintű hozzáférést szereznek. Ezután egy második drivert, a hlpdrv.sys-t töltik be, amely már kifejezetten rosszindulatú célt szolgál: kikapcsolja a Windows Defender fő védelmi komponenseit.
Ez az úgynevezett BYOVD (Bring Your Own Vulnerable Driver) típusú támadás, ahol a fenyegetést jelentő szereplők szándékosan használnak olyan hivatalosan aláírt, ám sebezhető drivereket, amelyek segítségével jogosultságkiterjesztést érhetnek el. A hlpdrv.sys működése során a Windows rendszerleíró adatbázisában módosítja a DisableAntiSpyware beállítást, gyakorlatilag teljesen hatástalanítva a Defender működését. Ez a változtatás a regedit.exe program automatikus futtatásán keresztül történik.
A GuidePoint Security 2025. július 15. óta dokumentáltan észlelte ezt a módszert több Akira incidens során. A kutatók figyelmeztetnek, hogy ez a minta erős indikátora lehet az Akira jelenlétének, és hasznos lehet mind megelőző detekcióra, mind visszamenőleges fenyegetésvadászatra. Ennek támogatására YARA szabályokat és kompromittálódásra utaló jeleket (IoC) is közzétettek a két driverhez, azok szolgáltatásneveihez és fájlútvonalaihoz.
Az Akira emellett más vektorokon is támad: a közelmúltban a SonicWall SSLVPN szolgáltatása ellen is indított támadásokat, feltehetően egy ismeretlen sérülékenységet kihasználva. Bár ezt a nulladik napi sérülékenységet még nem erősítették meg, a gyártó javasolta az SSLVPN letiltását vagy korlátozását, többfaktoros hitelesítés bevezetését és a nem használt fiókok törlését.
Továbbá a DFIR Report szerint a támadók Bumblebee malwaret használnak betöltőként, gyakran hamisított IT szoftvercsomagokon keresztül – például trójai MSI telepítők révén, amelyeket manipulált keresési találatok (SEO poisoning) irányítanak a felhasználók felé.
Ez a sokoldalú és egyre fejlettebb támadási arzenál jól mutatja, hogy a zsarolóvírusok operátorai egyre gyakrabban kombinálják a technikai sebezhetőségeket a kifinomult manipulációs eszközökkel. A védekezés kulcsa most is a proaktív és többrétegű biztonság
