Akira-Ransomware greift SonicWall-VPNs an und setzt Treiber ein, um die Sicherheit zu umgehen

Ein neuer Bericht des Cybersicherheitsunternehmens GuidePoint Security enthüllt eine raffinierte neue Methode der Akira-Ransomware-Gruppe für Angriffe auf Computernetzwerke. Forscher fanden heraus, dass die Hacker nach dem ersten Zugriff auf Systeme zwei spezielle Softwaretreiber nutzten, um Sicherheitstools heimlich zu deaktivieren – ein wichtiger Schritt vor dem Einsatz ihrer Ransomware.

Die Entdeckung von GuidePoint Security, die Hackread.com mitgeteilt wurde, gilt als hochprioritärer Befund, da sie bei den jüngsten Angriffen von Akira, das seit Ende Juli Sicherheitslücken in SonicWall-VPNs ausnutzt, wiederholt beobachtet wurde. Diese neuen Erkenntnisse geben Unternehmen eine bessere Chance, diese Angriffe zu erkennen und zu stoppen, bevor sie größeren Schaden anrichten können. Die Aktivitäten der Hackergruppe lassen sich bis mindestens zum 15. Juli 2025 zurückverfolgen.

Der Bericht erklärt, wie Hacker sich Zugang verschaffen, indem sie Schwachstellen in SonicWall-VPNs ausnutzen. Sobald sie sich Zugang verschafft haben, verwenden sie zwei Treiber, kleine Softwareprogramme, die die Kommunikation zwischen Hardware und Software eines Computers ermöglichen.

Einer der Treiber namens rwdrv.sys ist eigentlich eine legitime Datei aus einem Performance-Tool für Intel-CPUs. Hacker missbrauchen sie jedoch, um mächtigen Zugriff auf Kernel-Ebene auf das betroffene Gerät zu erhalten. Dadurch erhalten sie umfassende Kontrolle über den Betrieb des Computers.

Der zweite Treiber, hlpdrv.sys, ist bösartig. Seine Aufgabe besteht darin, gezielt Windows Defender, die integrierte Antivirensoftware, zu deaktivieren. Durch die Verwendung dieser beiden Treiber in einer bestimmten Reihenfolge können Angreifer die Sicherheitssoftware eines Systems effektiv ausschalten und so den Weg für den Start ihrer Ransomware freimachen.

Eine Geschichte von Angriffen auf Unternehmen

Diese neue Kampagne ist nicht das erste Mal, dass Akira Sicherheitslücken in Unternehmensnetzwerken ausnutzt. Im August 2023 wurde festgestellt, dass die Gruppe Schwachstellen in Cisco-VPN-Produkten ausnutzt, um sich unbefugten Zugriff zu verschaffen und Ransomware-Angriffe zu starten.

Erst kürzlich, im April 2025, berichtete Hackread.com über eine neue Spam-Kampagne von AkiraBot , einem Tool, das mithilfe künstlicher Intelligenz personalisierte Spam-Nachrichten für kleine Unternehmen erstellt. Diese vergangenen Kampagnen zeigen, dass Akira eine anhaltende und anpassungsfähige Bedrohung für eine Vielzahl von Branchen darstellt, vom Bildungs- und Gesundheitswesen bis hin zur Fertigung.

GuidePoint Security empfiehlt Sicherheitsexperten dringend, ihre Systeme aktiv nach diesen beiden Treibern zu suchen. Zu diesem Zweck wurde eine spezielle Regel namens YARA-Regel entwickelt. Mit diesem Tool können Sicherheitsteams ihre Systeme scannen und die einzigartigen Muster dieser schädlichen Treiber ermitteln, um eine schnelle Erkennung zu ermöglichen.

Unabhängig davon hat SonicWall eigene Ratschläge für Kunden herausgegeben und empfiehlt die Verwendung der Multi-Faktor-Authentifizierung (MFA), um die Anmeldung sicherer zu machen, die Anzahl der Personen, die eine Verbindung zum VPN herstellen können, einzuschränken und sicherzustellen, dass alle Sicherheitsdienste aktiviert sind.