Akira ransomware e il trucco del driver, così si disattiva Defender senza farsi notare

Da tempo ormai i gruppi ransomware evolvono le loro tattiche oltre al semplice cifraggio dei file, ma l’attacco del cosiddetto Akira ransomware rappresenta un salto di qualità in termini di elusione della difesa: il malware, infatti, abusa di un driver legittimo di Intel, quello usato da ThrottleStop (rwdrv.sys), per elevarsi a livello kernel e poi installare un secondo driver malevolo (hlpdrv.sys), che modifica la chiave di registro DisableAntiSpyware di Windows Defender tramite regedit.exe, disattivando ogni protezione senza alcun avviso.

Ma cosa fa concretamente oltre a spegnere Defender? Questa azione è solo l’inizio di un attacco orchestrato: in diversi incidenti legati ad Akira, rilevati da GuidePoint Security a partire dal 15 luglio 2025, si evidenzia un vero e proprio percorso criminale. Innanzitutto, gli attaccanti ottengono l’accesso sfruttando potenzialmente vulnerabilità zero‑day in dispositivi SonicWall SSL‑VPN o metodologie di credential stuffing, brute force o phishing mirato.

Una volta all’interno della rete, utilizzano un loader come Bumblebee – spesso distribuito tramite installatori MSI trojanizzati di strumenti IT (per esempio ricercando “ManageEngine OpManager” si viene reindirizzati a un dominio malevolo) – e tramite tecnica di DLL sideloading scaricano il payload adattabile (AdaptixC2) per stabilire persistenza e comunicazione C2 sul sistema attaccato.

Da lì inizia la fase di ricognizione interna: creazione di account con privilegi elevati, esfiltrazione di dati sensibili utilizzando FileZilla o tunnel come RustDesk, connessione SSH o strumenti di remote desktop. Dopo circa 44 ore dall’inizio dell’attacco, viene lanciato il vero payload di cifratura (locker.exe) che cripta i dati su macchine e domini interi.

In alcuni casi, viene anche richiamato un doppio estorsione dati — esfiltrazione prima della cifratura, con minaccia di pubblicazione degli archivi rubati in caso di mancato pagamento.

Insomma, Akira non si limita alla disattivazione delle difese via driver vulnerabili, ma segue un approccio sofisticato e multistadio: accesso iniziale (SonicWall o credenziali compromesse), uso di loader avanzati (Bumblebee), controllo remoto persistente, esfiltrazione dati, creazione di account admin interni e infine cifratura totale della rete dopo un periodo di attesa operativo.

Per chi difende le infrastrutture IT questo tipo di attacco suggerisce chiaramente che non basta affidarsi alle difese antivirus di base: bisogna monitorare installazioni sospette di driver (come rwdrv.sys e hlpdrv.sys), anomalie nei processi di servizio, modifiche a chiavi di registro critiche, connessioni VPN insolite, installazioni non autorizzate di strumenti IT tramite MSI e, soprattutto, adottare rilevamento comportamentale e threat hunting retroattivo su indicatori di compromesso noti quali le stringhe YARA e i percorsi dei driver forniti dai ricercatori di GuidePoint.

In sintesi, Akira si distingue per una strategia furba e multistrato: abilità nel disattivare la sicurezza locale via BYOVD, utilizzo di loader obfuscati e persistence tramite installer legittimi contraffatti, esfiltrazione di dati e attacco ritardato a colpo di cifratura. Un modello d’attacco che merita attenzione da parte di chiunque gestisca endpoint o reti Windows e richiede un controllo rigoroso di driver firmati utilizzati per altri scopi, così come la verifica di ogni anomalia negli strumenti di tuning o nei servizi kernel registrati.