Вирус-вымогатель Akira атакует VPN-сети SonicWall и устанавливает драйверы для обхода системы безопасности

В новом отчёте компании GuidePoint Security, специализирующейся на кибербезопасности, раскрывается новый хитроумный метод, используемый группой шифровальщика Akira для атаки на компьютерные сети. Исследователи обнаружили, что после первоначального доступа к системам хакеры использовали два специальных драйвера для скрытого отключения инструментов безопасности, что является ключевым этапом перед запуском шифровальщика.

Открытие GuidePoint Security, о котором компания поделилась с Hackread.com, считается высокоприоритетным, поскольку оно неоднократно наблюдалось в недавних атаках группы Akira, которая эксплуатирует уязвимости безопасности VPN-сервисов SonicWall с конца июля. Это новое понимание даёт компаниям больше шансов обнаружить и остановить эти атаки, прежде чем они нанесут серьёзный ущерб. Активность хакерской группы была прослежена как минимум до 15 июля 2025 года.

В отчёте объясняется, как хакеры проникают в систему, эксплуатируя уязвимости в VPN-сетях SonicWall. Проникнув в систему, они используют два драйвера — небольшие программы, которые обеспечивают взаимодействие аппаратного и программного обеспечения компьютера.

Один из драйверов, rwdrv.sys, на самом деле является легитимным файлом утилиты для оценки производительности процессоров Intel, но хакеры используют его, чтобы получить мощный доступ на уровне ядра к уязвимому устройству. Это даёт им полный контроль над работой компьютера.

Второй драйвер, hlpdrv.sys, является вредоносным. Его задача — целенаправленно атаковать и отключить Защитник Windows, встроенный антивирус. Используя эти два драйвера в определённом порядке, злоумышленники могут фактически ослепить антивирусное ПО системы безопасности, открывая путь для запуска своего вируса-вымогателя.

История нападений на предприятия

Эта новая кампания — не первый случай, когда Akira атакует корпоративные сети через уязвимости безопасности. В августе 2023 года было обнаружено, что группа использовала уязвимости в продуктах Cisco VPN для получения несанкционированного доступа и запуска атак с использованием программ-вымогателей.

Совсем недавно, в апреле 2025 года, сайт Hackread.com также освещал новую спам-кампанию, организованную AkiraBot — инструментом, использующим искусственный интеллект для создания персонализированных спам-сообщений для малого бизнеса. Эти предыдущие кампании показывают, что Akira представляет собой устойчивую и адаптивную угрозу для широкого спектра отраслей, от образования и здравоохранения до производства.

Компания GuidePoint Security настоятельно рекомендует специалистам по безопасности активно искать эти два драйвера в своих системах. Для этого они также разработали специальное правило, называемое правилом YARA. Это инструмент, который помогает специалистам по безопасности сканировать системы и находить уникальные шаблоны поведения этих вредоносных драйверов, обеспечивая быстрое обнаружение.

Кроме того, SonicWall выпустила собственные рекомендации для клиентов, в которых рекомендует использовать многофакторную аутентификацию (MFA) для более безопасного входа в систему, ограничить круг лиц, которые могут подключаться к VPN, и убедиться, что все службы безопасности включены.