GuidePoint Security waarschuwt voor een nieuwe aanvalsmethode met Akira-ransomware.
Uit een rapport van beveiligingsbedrijf GuidePoint Security dat PCWorld kon inkijken, blijkt dat hackers Microsoft Defender kunnen uitschakelen door misbruik te maken van een kwetsbare driver, rwdrv.sys. Die wordt gebruikt voor de Intel CPU-tuningtool ThrottleStop. Via deze driver krijgen aanvallers toegang tot de kernel van het systeem.
Eigen driver injecteren
Met die verhoogde rechten kunnen criminelen hun eigen kwaadaardige driver laden, in dit geval hlpdrv.sys. Deze past het Windows-register aan en schakelt essentiële beschermingsfuncties van Microsoft Defender uit. Dan kan de Akira-ransomware worden geïnstalleerd en uitgevoerd.
Volgens GuidePoint Security wordt deze methode sinds juli gebruikt in Akira-campagnes. Het gaat om een gerichte ‘twee-puntsaanval’ waarbij eerst de kwetsbare driver wordt misbruikt en daarna de beveiliging wordt uitgeschakeld.
Bescherming
Gebruikers wordt aangeraden betrouwbare antivirussoftware te gebruiken en Windows en beveiligingspakketten altijd up-to-date te houden. Regelmatige updates zorgen ervoor dat nieuwe malwarevarianten sneller worden herkend en geblokkeerd.