Wyobraź sobie, że twoja główna ochrona przed cyberzagrożeniami nagle przestaje działać. Nie z powodu błędu systemowego czy twojego zaniedbania, ale ponieważ ktoś zdalnie i bez twojej wiedzy po prostu ją wyłączył. Właśnie taki scenariusz staje się rzeczywistością dla użytkowników Windowsa, a winowajcą okazuje się nieoczekiwany sojusznik – legalny sterownik sprzętowy. Microsoft Defender przez lata uchodził za solidny fundament ochrony antywirusowej w systemach Windows. Teraz jednak okazuje się, że nawet tak podstawowe zabezpieczenie może zostać łatwo przechytrzone. Nowa metoda ataku wykorzystuje legalny sterownik procesora Intel do zdalnego dezaktywowania tej ochrony. Co niepokojące, technika ta nie jest już tylko teoretycznym zagrożeniem, ponieważ grupa ransomware Akira korzysta z niej aktywnie od połowy lipca 2025 roku.

Rola sterownika Intel w ataku i proces wyłączania zabezpieczeń

Cały mechanizm opiera się na technice BYOVD (Bring Your Own Vulnerable Driver), która polega na nadużyciu legalnego sterownika o nazwie rwdrv.sys. Pochodzi on z popularnego narzędzia ThrottleStop służącego do tuningu procesorów. Windows automatycznie ufa temu sterownikowi ze względu na jego oficjalny podpis cyfrowy, co otwiera furtkę do dalszych działań.

Proces ataku przebiega dwuetapowo. Najpierw hakerzy ładują sterownik rwdrv.sys, aby uzyskać dostęp na poziomie jądra systemu Windows. Następnie instalują drugi, już złośliwy sterownik o nazwie hlpdrv.sys, który modyfikuje kluczowe ustawienia rejestru. Sterownik rwdrv.sys stanowi idealny kamuflaż dla cyberprzestępców. Ponieważ pochodzi z legalnego źródła i ma ważny podpis cyfrowy Intel, Windows przepuszcza go bez dodatkowych kontroli bezpieczeństwa.

Hakerzy wykorzystują zasady samego systemu przeciwko niemu. Zamiast włamywać się z zewnątrz, działają już w kręgu zaufania, używając własnych mechanizmów Windows do obejścia zabezpieczeń. To trochę tak, jakby ktoś użył twojego własnego klucza do zamknięcia cię w piwnicy. Po uzyskaniu uprawnień na poziomie jądra, złośliwy sterownik hlpdrv.sys zmienia ustawienie rejestru DisableAntiSpyware za pomocą programu regedit.exe.

Ta modyfikacja prowadzi do całkowitego wyłączenia Microsoft Defender, co umożliwia niezauważone działanie innych programów malware w systemie. Kiedy Defender zostaje wyłączony, atakujący mogą swobodnie uruchamiać kolejne złośliwe narzędzia, instalować backdoory czy przygotowywać grunt pod atak ransomware. To moment, gdy prawdziwy atak tak naprawdę się zaczyna.

Grupa ransomware Akira systematycznie wykorzystuje tę technikę w swoich operacjach. Ich działania wykraczają daleko poza samo wyłączanie antywirusów – obejmują kompleksowe ataki na całą infrastrukturę IT organizacji. Typowy atak Akira składa się z kilku faz: kradzieży wrażliwych danych, ustanowienia ukrytego zdalnego dostępu oraz finalnego wdrożenia oprogramowania szyfrującego pliki w całej sieci organizacji. Ta metodyka pozwala im wywierać podwójną presję na ofiary – groźbą publikacji skradzionych danych i zablokowaniem dostępu do systemów.

Ta sama grupa cyberprzestępców prowadzi również ataki na urządzenia SonicWall VPN, wykorzystując znaną lukę bezpieczeństwa CVE-2024-40766. SonicWall potwierdził, że incydenty prawdopodobnie dotyczą tej konkretnej podatności, a nie zupełnie nowego exploita zero-day. Kombinacja ataków na infrastrukturę VPN i wyłączania zabezpieczeń antywirusowych pokazuje zaawansowanie i kompleksowość działań grupy Akira. Hakerzy systematycznie budują dostęp do sieci korporacyjnych z różnych kierunków, co czyni ich szczególnie niebezpiecznymi przeciwnikami.

Firma GuidePoint Security opracowała zestaw narzędzi pomocnych w wykrywaniu tego typu ataków. Eksperci zalecają stosowanie wielowarstwowego podejścia do bezpieczeństwa, które nie polega wyłącznie na jednym rozwiązaniu antywirusowym. Kluczowe środki ochronne obejmują używanie dodatkowego, niezależnego oprogramowania antywirusowego, ograniczenie ekspozycji na podejrzane treści internetowe oraz unikanie uruchamiania nieznanych poleceń i aplikacji. Równie ważne są regularne aktualizacje wszystkich komponentów systemu i stosowanie uwierzytelniania dwuskładnikowego (2FA) wszędzie tam, gdzie to możliwe.

Badacze z GuidePoint opublikowali regułę detekcji YARA oraz szczegółowe wskaźniki kompromitacji, które pomagają administratorom w identyfikacji tej aktywności. Pakiet obejmuje między innymi nazwy plików charakterystyczne dla ataku, nazwy usług systemowych tworzonych przez malware, skróty SHA-256 złośliwych plików oraz typowe ścieżki instalacji w systemie plików.

Te wskaźniki umożliwiają proaktywne wykrywanie ataków na wczesnym etapie, zanim hakerzy zdążą wyrządzić poważne szkody w infrastrukturze IT. To szczególnie ważne w przypadku tak wyrafinowanych metod, które potrafią omijać standardowe mechanizmy obronne. Nowy sposób ataku grupy Akira ujawnia fundamentalny problem w architekturze bezpieczeństwa Windows. Gdy legalny sterownik staje się kluczem do wyłączenia ochrony, tradycyjne podejście do cyberbezpieczeństwa wymaga gruntownego przemyślenia. Organizacje muszą inwestować w rozwiązania wykraczające poza standardowe mechanizmy ochronne, aby skutecznie bronić się przed tak zaawansowanymi zagrożeniami. To nie jest czas na panikę, ale na przemyślane działania i wzmocnienie zabezpieczeń.