Các nhà nghiên cứu bảo mật đã phát hiện một chiến thuật mới tinh vi được áp dụng bởi các nhóm vận hành mã độc ransomware Akira. Chúng đang khai thác các driver Windows hợp pháp để né tránh hệ thống diệt virus và phát hiện điểm cuối (EDR), đồng thời nhắm mục tiêu vào cơ sở hạ tầng VPN của SonicWall. Sự phát triển này cho thấy sự leo thang đáng kể về năng lực kỹ thuật của nhóm mã độc ransomware này và đặt ra những thách thức nghiêm trọng cho hệ thống phòng thủ an ninh mạng doanh nghiệp, đặc biệt trong việc phát hiện và ngăn chặn các cuộc tấn công tinh vi.

Chiến Thuật Tấn Công BYOVD của Mã Độc Ransomware Akira

Từ cuối tháng 7 đến đầu tháng 8 năm 2025, nhiều nhà cung cấp bảo mật đã ghi nhận sự gia tăng đột biến các cuộc tấn công của mã độc ransomware Akira nhắm vào các thiết bị SonicWall VPN. Chiến dịch này đã làm dấy lên lo ngại về các lỗ hổng tiềm ẩn thuộc loại lỗ hổng zero-day trong cơ sở hạ tầng SSL VPN của SonicWall.

Mặc dù công ty đã xác nhận các báo cáo, SonicWall chưa xác nhận cụ thể về sự tồn tại của bất kỳ lỗ hổng zero-day nào. Các nhóm phản ứng sự cố của GuidePoint Security đã quan sát thấy các mô hình nhất quán trong nhiều trường hợp liên quan đến Akira.

Điều này tiết lộ việc nhóm này sử dụng một cách có hệ thống hai driver Windows cụ thể như một phần của phương pháp tấn công. Đây là một chuỗi tấn công tinh vi thuộc loại “Bring Your Own Vulnerable Driver” (BYOVD), được thiết kế để đạt quyền truy cập cấp độ kernel và vô hiệu hóa các biện pháp bảo vệ bảo mật hệ thống.

Khai Thác Driver Hợp Pháp: rwdrv.sys trong Chiến Dịch Mã Độc Ransomware Akira

Driver đầu tiên được sử dụng là rwdrv.sys, có nguồn gốc từ ThrottleStop – một tiện ích tinh chỉnh hiệu suất Windows hợp pháp dành cho bộ xử lý Intel. Các đối tượng liên kết với chiến dịch mã độc ransomware Akira đã đăng ký driver này như một dịch vụ.

Kỹ thuật này là một phương pháp phổ biến để đạt được tính dai dẳng (persistence) và leo thang đặc quyền (privilege escalation). Việc đăng ký cho phép chúng đạt được quyền truy cập đặc quyền cấp độ kernel, cấp độ cao nhất trong hệ điều hành. Từ đó, các tác nhân đe dọa có thể thực hiện các hành động sâu rộng mà không bị hạn chế bởi các biện pháp bảo mật thông thường.

Công cụ hợp pháp này, thường được sử dụng để giám sát hiệu suất CPU và ghi đè điều chỉnh nhiệt độ, trở thành một con đường cho các hoạt động độc hại khi bị các tác nhân đe dọa vũ khí hóa.

Cơ Chế Né Tránh Chính: hlpdrv.sys và Ảnh Hưởng Đến Hệ Thống

Thành phần thứ hai là hlpdrv.sys, đóng vai trò là cơ chế né tránh chính trong chuỗi tấn công của mã độc ransomware Akira. Sau khi được thực thi, driver độc hại này trực tiếp sửa đổi cài đặt registry của Windows Defender.

Cụ thể, nó nhắm mục tiêu vào cấu hình DisableAntiSpyware trong hive registry của các chính sách Windows Defender. Phần mềm độc hại thực hiện điều này thông qua việc tự động thực thi các lệnh regedit.exe.

Thao tác này vô hiệu hóa một trong những cơ chế bảo mật chính của Windows, cho phép mã độc ransomware hoạt động tự do hơn. Các nhà nghiên cứu bảo mật tin rằng driver rwdrv.sys hợp pháp có thể tạo điều kiện cho việc thực thi driver hlpdrv.sys độc hại, mặc dù cơ chế kỹ thuật chính xác vẫn đang được điều tra chuyên sâu.

Chỉ Số Lây Nhiễm (IOCs)

Driver độc hại hlpdrv.sys đã được lập danh mục với hash SHA256 sau trên các kho lưu trữ mã độc thương mại:

• SHA256:bd1f381e5a3db22e88776b7873d4d2835e9a1ec620571d2b1da0c58f81c84a56

Khuyến Nghị Bảo Mật và Cập Nhật An Ninh cho SonicWall VPN

SonicWall đã ban hành các khuyến nghị bảo mật toàn diện cho các tổ chức đang sử dụng cơ sở hạ tầng VPN của họ để giảm thiểu rủi ro từ các mối đe dọa mạng như Akira. Các biện pháp quan trọng bao gồm:

• Vô hiệu hóa dịch vụ SSLVPN: Khi có thể, nên tắt các dịch vụ SSLVPN không cần thiết hoặc không được sử dụng để giảm thiểu bề mặt tấn công.
• Hạn chế kết nối VPN: Giới hạn kết nối VPN chỉ từ các địa chỉ IP đáng tin cậy đã được xác định trước.
• Triển khai xác thực đa yếu tố (MFA): Bắt buộc sử dụng MFA cho tất cả các tài khoản truy cập VPN để tăng cường lớp bảo mật.
• Kích hoạt các tính năng bảo mật nâng cao: Bật các tính năng như bảo vệ botnet và lọc địa lý IP (geo-IP filtering) nếu được thiết bị hỗ trợ để chặn các kết nối độc hại.

Phát Hiện và Săn Lùng Mối Đe Dọa Mạng Nâng Cao

Sự phổ biến của các driver này trong nhiều sự cố liên quan đến nhóm mã độc ransomware Akira đã thúc đẩy các nhà nghiên cứu bảo mật phát triển các quy tắc phát hiện YARA chuyên biệt. Các chữ ký này tập trung vào các đặc điểm độc đáo của driver hlpdrv.sys độc hại. Điều này bao gồm cấu trúc PE (Portable Executable), các hàm import, và các chuỗi nhúng bên trong driver.

Việc phát triển các quy tắc YARA này là rất quan trọng. Nó cho phép khả năng săn lùng mối đe dọa mạng chủ động và phản ứng sự cố hiệu quả hơn đối với các kỹ thuật né tránh tiên tiến. Các tổ chức nên tích hợp các quy tắc này vào hệ thống IDS/IPS hoặc EDR của mình.

Chiến dịch này nhấn mạnh sự tinh vi ngày càng tăng của các hoạt động mã độc ransomware. Trong đó, các công cụ quản trị hợp pháp trở thành vũ khí trong tay tội phạm mạng nhằm phá vỡ các kiến trúc bảo mật mạng hiện đại. Việc hiểu rõ các chiến thuật này là rất quan trọng để xây dựng các biện pháp phòng thủ vững chắc trước mối đe dọa mạng đang tiến hóa.