- Ahli memperingatkan Akira menggunakan VPN SonicWall untuk menggunakan dua chauffeur
- Salah satunya adalah pengemudi yang sah dan rentan yang memungkinkan yang lain dieksekusi
- Yang lain menonaktifkan alat perlindungan antivirus dan titik akhir
Akira Ransomware telah mendominasi berita utama baru -baru ini karena penyalahgunaan SonicWall SSL VPNs untuk mendapatkan akses awal dan menggunakan enkriptor.
Namun, sementara akses awal penting, masih belum cukup untuk menginfeksi perangkat, terutama jika dilindungi oleh antivirus, atau solusi perlindungan titik akhir dan respons (EDR).
Sekarang, peneliti keamanan dari Guidepoint Safety and security percaya mereka telah melihat dengan tepat bagaimana Akira menonaktifkan solusi keamanan, yang memungkinkan mereka untuk menjatuhkan ransomware.
Beberapa target
Dalam sebuah laporan baru-baru ini, para peneliti dari GuidEpoint menguraikan bagaimana Akira terlibat dalam serangan pengemudi yang lebih baik (BYOD), menggunakan akses awal untuk menjatuhkan dua motorist, salah satunya adalah sah.
“Chauffeur pertama, RWDRV.SYS, adalah pengemudi yang sah untuk Throttlestop. Utilitas penyetelan dan pemantauan kinerja berbasis Windows ini terutama dirancang untuk Intel CPU,” jelas para peneliti. “Sering digunakan untuk mengganti mekanisme pelambatan CPU, meningkatkan kinerja, dan memantau perilaku prosesor secara real time.”
Chauffeur kedua, hlpdrv.sys terdaftar sebagai layanan tetapi ketika dieksekusi, itu memodifikasi pengaturan disableantispyware dari Windows Protector dalam registri sistem.
“Kami menilai bahwa motorist RWDRV.SYS yang sah dapat digunakan untuk memungkinkan pelaksanaan motorist HLPDRV.SYS berbahaya, meskipun kami tidak dapat mereproduksi mekanisme aksi yang tepat pada saat ini,” kata para ahli.
Beberapa peneliti telah mengamati serangan yang berasal dari Sonicwall SSL VPN, dan karena beberapa contoh ditambal sepenuhnya, mereka berspekulasi aktor ancaman dapat mengeksploitasi kerentanan nol-hari.
Namun, dalam sebuah pernyataan yang dibagikan dengan Techradar Pro, Sonicwall mengatakan bahwa para penjahat sebenarnya mengeksploitasi kerentanan n-hari.
“Berdasarkan temuan saat ini, kami memiliki keyakinan tinggi bahwa kegiatan ini terkait dengan CVE- 2024 – 40766, yang sebelumnya diungkapkan dan didokumentasikan dalam penasehat publik kami SNWLID- 2024 – 0015, bukan kerentanan nol-hari atau tidak diketahui yang baru,” kata perusahaan itu.
“Populasi yang terkena dampak kecil, kurang dari 40 kasus yang dikonfirmasi, dan tampaknya terkait dengan penggunaan kredensial lama selama migrasi dari Gen 6 ke Firewall Gen 7 Kami telah mengeluarkan panduan yang diperbarui, termasuk langkah -langkah untuk mengubah kredensial dan meningkatkan ke Sonicos 7 3.0, yang mencakup peningkatan perlindungan MFA.”
Melalui Komputer bleeping
