By Daniel Richter 
Představte si, že vaše hlavní ochrana před kybernetickými vlákny najednou přestane fungovat. Ne kvůli chybě systému nebo zanedbávání, ale proto, že někdo na dálku a bez vašeho vědomí jej jednoduše vypnul. To je místo, kde se takový scénář stává realitou pro uživatele Windows a viník se ukáže jako neočekávaný spojenec – legální hardwarový řadič. Microsoft Defender po celá léta byl považován za pevný základ ochrany proti viru v oknech. Nyní se však ukáže, že i takovou základní ochranu lze snadno překonat. Nová metoda útoku používá řadič legálního procesoru Intel k dálkové deaktivaci této ochrany. Je to znepokojivé, tato technika již není jen teoretickou hrozbou, protože skupina ransomware Akira ji aktivně používá od poloviny července 2025.
Role řadiče Intel při útoku a proces vyloučení bezpečnosti
Celý mechanismus je založen na technice BYOVD (přineste si vlastní zranitelný řidič), která zahrnuje zneužití právního řadiče zvaného RWDRV.SYS. Pochází z populárního nástroje Throttlestop používaného pro ladění procesoru. Windows automaticky důvěřuje tomuto řadiči kvůli jeho oficiálnímu digitálnímu podpisu, který otevírá bránu pro další akce.
Přečtěte si také: Žádná další ztráta dokumentů. Microsoft 365 automaticky uloží soubory slov v cloudu
Proces útoku probíhá ve dvou fázích. Nejprve hackeři účtují řadič RWDRV.SYS, aby získali přístup na úrovni varlat Windows. Poté nainstalují druhý, již škodlivý řadič s názvem HLPDRV.SYS, který modifikuje nastavení registru klíčů. Řadič RWDRV.SYS je ideální kamufláží pro kybernetické zločince. Protože pochází z legálního zdroje a má důležitý digitální podpis Intel, Windows jej předává bez dalších bezpečnostních ovládacích prvků.
Hackeři používají proti němu principy samotného systému. Místo toho, aby hackovali zvenčí, již jednají v kruhu důvěry a používají své vlastní mechanismy oken k obeznámenosti s bezpečností. Je to trochu, jako by někdo použil váš vlastní klíč k uzavření v suterénu. Po získání oprávnění na jaderné úrovni změní řidič škodlivého HLPDRV.SYS nastavení registru DisableAntispyware pomocí programu Regedit.exe.
Tato modifikace vede k úplnému vyloučení Microsoft Defender, což umožňuje bez povšimnutí provozu jiných malwarových programů v systému. Když je Defender vypnut, útočníci mohou volně provozovat následné škodlivé nástroje, instalovat zadní vzor nebo připravit půdu na ransomware. To je okamžik, kdy skutečný útok opravdu začíná.
Přečtěte si také: Android je stále více jako iOS. Google vyrovnává sazbu s Apple
Skupina Akira Ransomware Group systematicky používá tuto techniku ve svých operacích. Jejich akce jde daleko za přepnutí anti -virů – zahrnují komplexní útoky na celou IT infrastrukturu organizace. Typický útok společnosti Akira se skládá z několika fází: krádeže citlivých dat, stanovení skrytého vzdáleného přístupu a konečné implementaci šifrovacího softwaru v celé organizační síti. Tato metodika jim umožňuje vyvíjet dvojí tlak na oběti – hrozbu zveřejnění ukradených dat a blokování přístupu k systémům.
Stejná skupina počítačových zločinců také provádí útoky na zařízení Sonicwall VPN pomocí známého bezpečnostního zámku CVE-2024-40766. Sonicwall potvrdil, že incidenty se pravděpodobně vztahují k této konkrétní náchylnosti, nikoli k zcela novému vykořisťování nulového dne. Kombinace útoků na infrastrukturu VPN a vyloučení anti -virové ochrany ukazuje pokrok a komplexnost skupiny Akira. Hackeři systematicky vytvářejí přístup k podnikovým sítím z různých směrů, což z nich dělá obzvláště nebezpečné protivníky.
GuidePoint Security vyvinula sadu nástrojů užitečných při detekci tohoto typu útoků. Odborníci doporučují používat vícevrstvý přístup k bezpečnosti, který se nejedná jen o jeden antivirový roztok. Mezi klíčová ochranná opatření patří použití dalšího nezávislého anti -virového softwaru, omezení expozice podezřelému internetovému obsahu a vyhýbání se spuštění neznámých příkazů a aplikací. Stejně důležité jsou pravidelné aktualizace všech systémových komponent a použití ověřování dvou komponent (2FA), kdykoli je to možné.
Přečtěte si také: Google Vids pro všechny. Nejlepší funkce však platí
Vědci GuidePoint zveřejnili pravidlo detekce YAR a podrobné kompromisní ukazatele, které pomáhají správcům identifikovat tuto činnost. Balíček zahrnuje mimo jiné názvy souborů charakteristických pro útok, názvy systémových služeb vytvořených malwarem, zkratky škodlivých souborů SHA-256 a typické instalační cesty v systému souborů.
Tyto ukazatele umožňují proaktivní detekci útoků v rané fázi, než hackeři mohou způsobit vážné poškození v infrastruktuře IT. To je zvláště důležité pro takové sofistikované metody, které se mohou vyhnout standardním obranným mechanismům. Nový způsob útoku na skupinu Akira odhaluje základní problém v bezpečnostní architektuře Windows. Když se právní kontrolor stane klíčem k vypnutí ochrany, tradiční přístup k kybernetické bezpečnosti vyžaduje důkladné myšlenky. Organizace musí investovat do řešení, která přesahují standardní ochranné mechanismy, aby se účinně bránily před takovými pokročilými hrozbami. To není čas na paniku, ale pro promyšlené akce a posilování bezpečnosti.