Ransomware Akira diketahui menyalahgunakan driver sah dari Intel CPU tuning untuk menonaktifkan Microsoft Defender serta menghindari deteksi dari tool keamanan dan EDR (Endpoint Detection and Response) di mesin target.
Driver yang dimanfaatkan adalah ‘rwdrv.sys’, bagian dari perangkat lunak ThrottleStop. Pelaku ancaman mendaftarkan driver ini sebagai service untuk memperoleh akses tingkat kernel. Dengan akses tersebut, mereka kemudian memuat driver kedua yang bersifat berbahaya, yakni ‘hlpdrv.sys’ yang memanipulasi Windows Defender untuk mematikan perlindungannya.
"Driver kedua, hlpdrv.sys, juga terdaftar sebagai service. Ketika dijalankan, ia mengubah pengaturan DisableAntiSpyware Windows Defender di dalam \REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware," jelas para peneliti.
"Malware melakukan ini melalui eksekusi regedit.exe."
Serangan ini termasuk dalam kategori Bring Your Own Vulnerable Driver (BYOVD), sebuah teknik di mana pelaku menggunakan driver bertanda tangan digital yang sah namun memiliki kerentanan yang dapat dieksploitasi untuk meningkatkan hak akses. Setelah mendapatkan kontrol tingkat kernel, driver ini digunakan untuk memuat malware yang dapat mematikan sistem keamanan seperti Microsoft Defender.
Taktik ini diamati oleh Guidepoint Security, yang melaporkan telah melihat penyalahgunaan driver rwdrv.sys berulang kali dalam serangan ransomware Akira sejak 15 Juli 2025.
“Kami menandai perilaku ini karena perilaku ini banyak ditemukan dalam kasus IR ransomware Akira baru-baru ini. Indikator dengan ketelitian tinggi ini dapat digunakan untuk deteksi proaktif dan perburuan ancaman retroaktif,” lanjut laporan tersebut.
Sebagai bentuk bantuan terhadap komunitas keamanan siber, GuidePoint Security juga telah menyediakan aturan YARA untuk mendeteksi hlpdrv.sys, serta daftar Indicator of Compromise (IoC) yang mencakup nama service, jalur file, dan informasi terkait lainnya yang bisa digunakan untuk mitigasi.
0 Comments
