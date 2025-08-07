I ricercatori di GuidePoint Security hanno scoperto che il ransomware Akira sfrutta due driver per disattivare Microsoft Defender. Uno di essi è parte di ThrottleStop, noto tool per il monitoraggio e controllo delle prestazioni della CPU. Questa tecnica è stata probabilmente usata durante il recente attacco effettuato contro i firewall SonicWall.

Attacco BYOVD per disattivare l’antivirus

Tra fine luglio e inizio agosto sono stati segnalati numerosi attacchi contro i firewall SonicWall. Sfruttando una vulnerabilità nella funzionalità SSLVPN, i cybercriminali hanno ottenuto l’accesso alla rete interna e installato il ransomware Akira.

Gli esperti di GuidePoint Security hanno scoperto la presenza di due driver Windows utilizzati per aggirare le protezioni degli antivirus (Microsoft Defender in particolare) attraverso la tecnica BYOVD (Bring Your Own Vulnerable Driver) che prevede l’uso di driver legittimi vulnerabili per ottenere privilegi elevati.

I cybercriminali hanno sfruttato il driver rwdrv.sys del tool ThrottleStop. Dopo averlo registrato come servizio hanno usato il driver per guadagnare l’accesso kernel. Il driver è servito quindi per caricare in memoria un secondo driver ( hlpdrv.sys ) che ha permesso di disattivare la protezione di Microsoft Defender attraverso la modifica del registro di Windows.

I ricercatori di GuidePoint Security hanno pubblicato tutte le informazioni per consentire alle aziende di rilevare i due driver e quindi bloccare in anticipo la distribuzione del ransomware. SonicWall non ha confermato la presenza dei driver, ma ha fornito suggerimenti per limitare i rischi.

Le aziende che usano i firewall Gen 7 o superiori devono installare SonicOS 7.3, disattivare i servizi SSLVPN, resettare le password, attivare l’autenticazione multi-fattore, eliminare gli account non usati, attivare le protezioni contro botnet e il filtro degli indirizzi IP.