תוכנת Ransomware של אקירה, שזכתה בפופולריות האחרונה, שימשה לאחרונה גם על ידי האקרים בשילוב עם מנהל התקן לכוונון אינטל לגיטימי להשבית את מיקרוסופט Defender.
כפי שדווח על ידי מחשב Bleeping, ההתקפות רושמות את הנהג כשירות על מנת לקבל גישה ברמת הגרעין.
מנהל ההתקן של מעבד האינטל שעושה שימוש לרעה הוא rwdrv.sys (משמש על ידי Throttlestop), וככל הנראה משמש לטעינת נהג משני (HLPDRV.SYS). הנהג המשני הזה הוא כלי זדוני הגורם למגן מיקרוסופט לכבות את ההגנות.
לעתים קרובות מכנים סוגים אלה של התקפות כ- Byovd 'הביאו נהג פגיע משלך', מכיוון שהם משתמשים בהם כאשר לשחקני איום כבר יש נהג חתום לגיטימי עם חולשות ידועות שניתן לנצל כדי להשיג הסלמת פריבילגיה. לאחר מכן הם, כמו שקורה עם הנהגים לעיל, המשמשים לטעינת כלים זדוניים או להשבית תוכנת אנטי -וירוס.
חוקרים ב- GuidePoint Security, שדיווחו כי ראו את ההתנהגות הזדונית, הצהירו כי כאשר המנהל השני מבוצע הוא משנה את הגדרות ההתחייבות של מיקרוסופט במגן במרשם. התוכנה הזדונית עושה זאת באמצעות ביצוע regedit.exe.
החוקרים ב- GuidePoint Security סיפקו כלל של יארה, אינדיקטורים מלאים לפשרה (IOCS), שמות שירות ונתיבי קבצים כדי לסייע בהגנה מפני התקפות אלה ולחסום. בנוסף, הם ממליצים לנקוט בניהול מערכות מערכות לפעילות הקשורה לאקירה, להחיל פילטרים וחסימות כאשר אינדיקטורים מתעוררים-ולדאוג להוריד רק תוכנה מאתרים רשמיים ומקורות מהימנים כאתרים זדוניים ומקורות מחקים הפכו ליותר ויותר דרך נפוצה להפצת תוכנות זדוניות כאלה.
זה תמיד מדאיג כאשר האקרים מגלים דרכים לצאת להתעללות בכלי אבטחה לגיטימיים בהתקפותיהם, אך למרבה המזל, ניסיון זה אותר במהירות ונועד תיקון מוקדם מספיק לפני שקמפיין זה יכול היה לגרום נזק משמעותי.
