Meşru sürücüyle güvenlik devre dışı bırakılıyor
Akira fidye yazılımı, ThrottleStop aracıyla kullanılan Intel sürücüsü “rwdrv.sys” üzerinden çekirdek seviyesinde erişim sağlıyor. Ardından “hlpdrv.sys” adlı kötü amaçlı sürücüyü yükleyerek Windows Defender’ın DisableAntiSpyware ayarını değiştiriyor ve korumaları devre dışı bırakıyor.

BYOVD tekniğiyle saldırı
Bu yöntem, “Bring Your Own Vulnerable Driver” (BYOVD) saldırı tekniğinin bir örneği. Yasal olarak imzalı ancak güvenlik açıkları bulunan sürücüler kullanılarak sistemde ayrıcalık yükseltiliyor. Akira’nın bu tekniği son haftalarda tekrarlayan saldırılarda sıkça görüldü.

SonicWall VPN saldırılarıyla bağlantı
Akira grubu kısa süre önce SonicWall SSLVPN servislerini de hedef aldı. Zero-day açık ihtimali gündeme gelse de, SonicWall henüz doğrulama yapmadı. Şirket, SSLVPN’in sınırlandırılması, MFA zorunluluğu, botnet/Geo-IP filtreleri ve kullanılmayan hesapların silinmesi gibi acil önlemler önerdi.

Sahte yazılım siteleriyle yayılıyor
The DFIR Report’a göre saldırılarda trojanlı MSI kurulum dosyaları kullanılıyor. “ManageEngine OpManager” gibi yazılımları arayan kullanıcılar, SEO zehirlemesi yoluyla opmanager[.]pro gibi sahte sitelere yönlendiriliyor. Bu sitelerden indirilen dosyalar, Bumblebee yükleyicisi aracılığıyla Akira’nın sisteme yerleşmesini sağlıyor.

Saldırıların ilerleyişi
Bumblebee, DLL yan yükleme yöntemiyle başlatılıyor, ardından AdaptixC2 ile kalıcı erişim sağlanıyor. Saldırganlar FileZilla üzerinden veri sızdırıyor, RustDesk ve SSH tünelleriyle kalıcılığı sürdürüyor. Ortalama 44 saat içinde “locker.exe” fidye yazılımı devreye giriyor ve etki alanlarındaki sistemler şifreleniyor.

Uzmanlardan uyarı
Güvenlik araştırmacıları, yalnızca resmi kaynaklardan yazılım indirilmesini, Akira ile ilgili IoC’lerin yakından takip edilmesini ve BYOVD tabanlı saldırılara karşı güvenlik çözümlerinin güncel tutulmasını öneriyor.

Kaynak: CUMHA – CUMHUR HABER AJANSI