O ransomware Akira, conhecido por seus ataques direcionados e táticas agressivas, adotou uma nova estratégia para burlar as proteções de segurança do Windows. A mais recente descoberta feita pela Guidepoint Security revela que o grupo está explorando um driver legítimo da Intel, o rwdrv.sys, em um ataque do tipo BYOVD (Bring Your Own Vulnerable Driver, ou “traga seu próprio driver vulnerável”).
Essa técnica permite ao grupo Akira desativar o Microsoft Defender, o antivírus nativo do Windows, obtendo acesso em nível de kernel ao sistema — uma das camadas mais profundas e privilegiadas do sistema operacional. Esta abordagem representa um avanço técnico notável e um risco significativo para empresas e usuários avançados de Windows.
Neste artigo, vamos explicar em detalhes como o ataque funciona, o que é a tática BYOVD, quais são os componentes utilizados e como o Akira tem diversificado seus vetores de ataque — incluindo exploração de VPNs e campanhas de envenenamento de SEO com malware Bumblebee. A compreensão dessa nova ameaça é essencial para quem deseja proteger seus sistemas de forma proativa.
O que é um ataque ‘traga seu próprio driver vulnerável’ (BYOVD)?
O conceito de BYOVD envolve o uso de drivers legítimos, mas com vulnerabilidades conhecidas, como ponto de entrada para ataques maliciosos. Em vez de criar um malware totalmente novo para obter privilégios elevados, os cibercriminosos simplesmente implantam um driver de terceiros que já possui uma falha de segurança — e que, muitas vezes, ainda é assinado digitalmente.
Como esse driver é reconhecido como confiável pelo sistema operacional, sua execução não gera alertas imediatos, tornando a detecção mais difícil por parte das soluções de segurança. Uma vez carregado no sistema, esse driver permite execução de código em nível de kernel, abrindo portas para atividades maliciosas como a desativação de proteções, ocultação de arquivos e instalação de outros malwares.
O ataque recente do ransomware Akira é um exemplo claro e eficaz dessa técnica, demonstrando como componentes legítimos podem ser usados como armas em campanhas sofisticadas de cibercrime.
Como o ransomware Akira executa o ataque passo a passo
A análise publicada pela Guidepoint Security detalha como o ransomware Akira abusa do driver ‘rwdrv.sys’ — originalmente utilizado pela ferramenta legítima ThrottleStop, voltada para o ajuste de desempenho de CPUs Intel — para ganhar acesso privilegiado ao sistema e comprometer a segurança nativa do Windows.
O papel do driver legítimo ‘rwdrv.sys’
O driver rwdrv.sys é normalmente instalado com a ferramenta ThrottleStop e serve para monitorar e ajustar o desempenho do processador em máquinas Windows. No entanto, ele contém vulnerabilidades conhecidas que permitem execução de código em nível de kernel, o que o torna um alvo ideal para ataques BYOVD.
O grupo Akira utiliza esse driver como ponto de entrada. Após invadir o sistema, os criminosos instalam o rwdrv.sys como um serviço do Windows, permitindo que comandos com privilégios elevados sejam executados sem a necessidade de explorar falhas do sistema operacional diretamente.
A ação do driver malicioso ‘hlpdrv.sys’
Com o rwdrv.sys em funcionamento, o ataque avança com a instalação de um segundo driver, agora malicioso, chamado hlpdrv.sys. Esse componente não é legítimo, mas é carregado com sucesso graças ao acesso de baixo nível permitido pelo driver anterior.
A principal função do hlpdrv.sys é desabilitar o Microsoft Defender, a principal barreira de defesa do Windows contra malwares. Ele realiza isso ao modificar diretamente o registro do sistema, inserindo ou alterando o valor em:
\REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware
Com essa modificação, o Defender é desligado completamente, deixando o sistema vulnerável a outros estágios do ataque, como a criptografia dos arquivos e exfiltração de dados.
O cenário maior: outros vetores de ataque do Akira
Além do uso de drivers vulneráveis, o ransomware Akira tem explorado múltiplas técnicas avançadas para comprometer redes e sistemas. Entre os casos recentes, destaca-se a suspeita de ataques direcionados a dispositivos VPN da SonicWall, possivelmente utilizando uma falha do tipo dia-zero ainda não divulgada publicamente.
Diante disso, a própria SonicWall publicou um alerta recomendando que administradores reforcem a segurança das VPNs com atualizações de firmware, autenticação multifator (MFA) e regras de acesso restritas.
Outro vetor de infecção documentado foi revelado pelo The DFIR Report, que analisou uma campanha em que o loader Bumblebee foi distribuído por meio de técnicas de envenenamento de SEO. Neste caso, usuários que buscavam softwares de TI legítimos, como o ManageEngine OpManager, acabavam baixando malwares que serviam como porta de entrada para o ataque do Akira.
Esses exemplos mostram que o grupo atua em múltiplas frentes, combinando engenharia social, abuso de confiança digital e exploração técnica sofisticada para alcançar seus objetivos.
Conclusão: como se proteger e detectar essa ameaça
O ransomware Akira está se consolidando como uma das ameaças mais sofisticadas do cenário atual de cibersegurança, combinando técnicas de baixo nível, exploração de software legítimo e engenharia social para maximizar o impacto de seus ataques.
Para mitigar os riscos dessa e de outras ameaças similares, recomenda-se:
- Monitorar indicadores de comprometimento (IoCs) relacionados ao uso dos drivers rwdrv.sys e hlpdrv.sys, especialmente a criação de serviços ou arquivos relacionados a esses nomes;
- Implementar autenticação multifator (MFA) em todos os pontos de acesso remoto, como VPNs, RDP e sistemas administrativos;
- Evitar o download de softwares de fontes não oficiais, especialmente quando realizados via buscadores, reduzindo o risco de malwares disseminados por SEO poisoning;
- Manter políticas de atualização rigorosas, tanto de sistemas operacionais quanto de softwares de terceiros, como VPNs, ferramentas de gerenciamento e drivers;
- Auditar o carregamento de drivers e configurar políticas de restrição para impedir que drivers não autorizados sejam executados no sistema.
Ficar informado sobre essas táticas e agir de forma proativa é o primeiro passo para reforçar a postura de segurança de qualquer organização ou ambiente doméstico.
