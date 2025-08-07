 Akira usa ThrottleStop per disattivare l'antivirus
Topic
Approfondimenti
Trending
tutti

Akira usa ThrottleStop per disattivare l'antivirus

Durante gli attacchi contro i firewall SonicWall, i cybercriminali hanno sfruttato il driver di ThrottleStop per disattivare Microsoft Defender.
Akira usa ThrottleStop per disattivare l'antivirus
Sicurezza
Durante gli attacchi contro i firewall SonicWall, i cybercriminali hanno sfruttato il driver di ThrottleStop per disattivare Microsoft Defender.
Gemini

I ricercatori di GuidePoint Security hanno scoperto che il ransomware Akira sfrutta due driver per disattivare Microsoft Defender. Uno di essi è parte di ThrottleStop, noto tool per il monitoraggio e controllo delle prestazioni della CPU. Questa tecnica è stata probabilmente usata durante il recente attacco effettuato contro i firewall SonicWall.

Attacco BYOVD per disattivare l’antivirus

Tra fine luglio e inizio agosto sono stati segnalati numerosi attacchi contro i firewall SonicWall. Sfruttando una vulnerabilità nella funzionalità SSLVPN, i cybercriminali hanno ottenuto l’accesso alla rete interna e installato il ransomware Akira.

Gli esperti di GuidePoint Security hanno scoperto la presenza di due driver Windows utilizzati per aggirare le protezioni degli antivirus (Microsoft Defender in particolare) attraverso la tecnica BYOVD (Bring Your Own Vulnerable Driver) che prevede l’uso di driver legittimi vulnerabili per ottenere privilegi elevati.

I cybercriminali hanno sfruttato il driver rwdrv.sys del tool ThrottleStop. Dopo averlo registrato come servizio hanno usato il driver per guadagnare l’accesso kernel. Il driver è servito quindi per caricare in memoria un secondo driver (hlpdrv.sys) che ha permesso di disattivare la protezione di Microsoft Defender attraverso la modifica del registro di Windows.

I ricercatori di GuidePoint Security hanno pubblicato tutte le informazioni per consentire alle aziende di rilevare i due driver e quindi bloccare in anticipo la distribuzione del ransomware. SonicWall non ha confermato la presenza dei driver, ma ha fornito suggerimenti per limitare i rischi.

Le aziende che usano i firewall Gen 7 o superiori devono installare SonicOS 7.3, disattivare i servizi SSLVPN, resettare le password, attivare l’autenticazione multi-fattore, eliminare gli account non usati, attivare le protezioni contro botnet e il filtro degli indirizzi IP.

Fonte: Bleeping Computer

Pubblicato il 7 ago 2025

Link copiato negli appunti

Ti potrebbe interessare

Gli audio privati di Raoul Bova: interviene il Garante Privacy

Gli audio privati di Raoul Bova: interviene il Garante Privacy
2 euro al mese per una VPN da usare in viaggio e navigare in sicurezza

2 euro al mese per una VPN da usare in viaggio e navigare in sicurezza
VPN per l'estate: zero limiti e connessioni sicura a 1,99 euro/mese

VPN per l'estate: zero limiti e connessioni sicura a 1,99 euro/mese
Nuove vittime di ShinyHunters: Pandora e Chanel

Nuove vittime di ShinyHunters: Pandora e Chanel
Gli audio privati di Raoul Bova: interviene il Garante Privacy

Gli audio privati di Raoul Bova: interviene il Garante Privacy
2 euro al mese per una VPN da usare in viaggio e navigare in sicurezza

2 euro al mese per una VPN da usare in viaggio e navigare in sicurezza
VPN per l'estate: zero limiti e connessioni sicura a 1,99 euro/mese

VPN per l'estate: zero limiti e connessioni sicura a 1,99 euro/mese
Nuove vittime di ShinyHunters: Pandora e Chanel

Nuove vittime di ShinyHunters: Pandora e Chanel
Luca Colantuoni
Pubblicato il
7 ago 2025
Link copiato negli appunti