Это прекращение вымогателей может похитить вашу систему, чтобы отключить Microsoft Defender • Продвижение Web 2.0

Эксперты предупреждают, что Akira Sonicwall использует VPN для предоставления двух драйверов
Один из них является законным, уязвимым водителем, с которым можно выполнить другой
Другие деактивирует инструменты защиты от антивируса и конечных точек

Akira Ransomware недавно доминировала в заголовках из -за злоупотребления Sonicwall SSL VPN для получения начального доступа и обеспечения шифрования.

Хотя первоначальный доступ важен, его все еще недостаточно для заражения устройства, особенно если оно защищено антивирусом или защитой конечной точки и реакционным раствором (EDR).

Теперь исследователи безопасности GuidePoint Security считают, что вы точно видели, как Акира деактивирует решения безопасности, чтобы вы могли отказаться от вымогателей.

Горстка целей

В недавно опубликованном отчете GuidePoint рассказал, как Акира использовала атаку с владением тройными драйверами (BYOD) с первым доступом к двум драйверам, один из которых является законным.

«Первый драйвер, Rwddrv.sys, является законным фактором для Throttlestop. Эта утилита для голоса и наблюдения на основе Windows предназначена в основном для процессоров Intel»,-пояснил исследователи. «Он часто используется для перезаписи механизмов дроссельной заслонки процессора, для повышения производительности и контроля поведения процессора в режиме реального времени».

Второй драйвер, hlpddrv.sys, зарегистрирован в качестве услуги. Однако при выполнении он изменяет настройки антипионного посуда -разработчика от защитника Windows в регистрации системы.

«Мы оцениваем, что законный драйвер Rwddrv.sys может использоваться для обеспечения выполнения злонамеренного драйвера HLPDDRV.SYS, хотя в настоящее время мы не могли воспроизвести точный механизм действия», — сказали эксперты.

Sonicwall SSL VPN наблюдали несколько исследователей, и, поскольку некоторые из случаев были полностью исправлены, они предположили, что игроки угрозы могут воспользоваться восприимчивостью к нулевой таге.

Однако в объяснении, связанном с Techradar Pro, Sonicwall сказал, что преступники фактически используют уязвимость N-Day.

ЧИТАТЬ 5+ способов, которыми ИИ может принести пользу вашему контенту и маркетингу | Институт контент-маркетинга

«Основываясь на текущих результатах, мы имеем высокий уровень доверия, что эта деятельность связана с CVE-2014-40766, который был ранее объявлен и задокументирован в нашей общественной консультации, без новой нулевой или неизвестной уязвимости»,-сказала компания.

«Пострадавшая популяция низкая, менее 40 подтвержденных случаев и, по -видимому, связана с использованием устаревшей информации о входе в систему во время миграций от Gen 6 на Gen 7 -Firewalls. Мы опубликовали обновленные руководящие принципы, включая шаги по изменению информации о входе в систему и обновление до Sonicos 7.3.0, включая расширенную защиту MFA».

Над Взорвать компьютер

Вы также могли бы понравиться

Source