Akira Ransomware atakuje sieci VPN SonicWall i wdraża sterowniki, aby ominąć zabezpieczenia

Nowy raport firmy GuidePoint Security, zajmującej się cyberbezpieczeństwem, ujawnia sprytną, nową metodę wykorzystywaną przez grupę ransomware Akira do ataków na sieci komputerowe. Badacze odkryli, że po wstępnym dostępie do systemów hakerzy używają dwóch konkretnych sterowników oprogramowania do potajemnego wyłączania narzędzi bezpieczeństwa, co jest kluczowym krokiem przed wdrożeniem ransomware.

Odkrycie dokonane przez GuidePoint Security, którym podzielił się z Hackread.com, jest uznawane za priorytetowe, ponieważ było wielokrotnie obserwowane w niedawnych atakach Akiry, która od końca lipca wykorzystywała luki w zabezpieczeniach sieci VPN SonicWall . Ta nowa wiedza daje firmom większą szansę na wykrycie i powstrzymanie tych ataków, zanim zdążą one wyrządzić poważne szkody. Aktywność grupy hakerskiej została ustalona co najmniej na 15 lipca 2025 roku.

Raport wyjaśnia, w jaki sposób hakerzy uzyskują dostęp, wykorzystując luki w zabezpieczeniach sieci VPN SonicWall. Po włamaniu się do systemu używają dwóch sterowników, czyli niewielkich programów, które wspomagają komunikację między sprzętem a oprogramowaniem komputera.

Jeden ze sterowników, o nazwie rwdrv.sys, to w rzeczywistości legalny plik z narzędzia do pomiaru wydajności procesorów Intel, ale hakerzy wykorzystują go w celu uzyskania potężnego dostępu z poziomu jądra do zainfekowanego urządzenia. Daje im to głęboką kontrolę nad działaniem komputera.

Drugi sterownik, hlpdrv.sys, jest złośliwy. Jego zadaniem jest celowe namierzanie i wyłączanie programu Windows Defender, wbudowanego oprogramowania antywirusowego. Używając tych dwóch sterowników w określonej kolejności, atakujący mogą skutecznie oślepić oprogramowanie zabezpieczające systemu, torując sobie drogę do uruchomienia ransomware.

Historia ataków na firmy

Ta nowa kampania to nie pierwszy raz, gdy Akira atakuje sieci korporacyjne, wykorzystując luki w zabezpieczeniach. W sierpniu 2023 roku grupa została zidentyfikowana jako wykorzystująca luki w produktach Cisco VPN do uzyskiwania nieautoryzowanego dostępu i przeprowadzania ataków ransomware.

Niedawno, w kwietniu 2025 roku, Hackread.com opisał również nową kampanię spamową AkiraBot , narzędzia wykorzystującego sztuczną inteligencję do tworzenia spersonalizowanych wiadomości spamowych dla małych firm. Te wcześniejsze kampanie pokazują, że Akira stanowi trwałe i elastyczne zagrożenie dla szerokiego spektrum branż, od edukacji i opieki zdrowotnej po produkcję.

Firma GuidePoint Security zdecydowanie zaleca specjalistom ds. bezpieczeństwa aktywne wyszukiwanie tych dwóch sterowników w swoich systemach. Udostępniono również specjalną regułę, zwaną regułą YARA, która ma w tym pomóc. To narzędzie pomaga zespołom ds. bezpieczeństwa skanować systemy w celu znalezienia unikalnych wzorców tych złośliwych sterowników, umożliwiając szybkie wykrywanie.

Odrębne wskazówki dla klientów firma SonicWall opublikowała, zalecając korzystanie z uwierzytelniania wieloskładnikowego (MFA) w celu zwiększenia bezpieczeństwa logowania, ograniczenie liczby osób, które mogą łączyć się z siecią VPN, a także włączenie wszystkich usług zabezpieczających.