Ransomware Akira desativa Microsoft Defender e cifra ficheiros via software de CPU

Investigadores da GuidePoint Security identificaram uma nova campanha de ransomware, baptizada de Akira, que usa o utilitário de afinação de processadores ThrottleStop para contornar as defesas do Windows e encriptar dados dos utilizadores.

Técnica de intrusão explora driver legítimo

O ataque tem início quando a vítima instala ou executa o ThrottleStop, aplicação popular entre utilizadores de processadores Intel. O programa inclui o driver assinado rwdrv.sys, destinado a permitir ajustes de energia e frequência do CPU. O Akira aproveita-se desse ficheiro, já confiado pelo sistema operativo, para criar um serviço com privilégios elevados e ganhar acesso ao kernel do Windows.

Depois da elevação de privilégios, o grupo introduz um segundo driver, designado hlpdrv.sys. Com as mesmas permissões de nível de sistema, este componente altera entradas no Registo do Windows e desativa o Microsoft Defender, principal solução de segurança nativa da Microsoft 365. Sem esta proteção, o ransomware passa a operar sem resistência.

Numa fase final, o Akira percorre as unidades de armazenamento, cifra documentos, imagens, vídeos e outros tipos de ficheiro, e deixa uma nota de resgate. A mensagem exige pagamento para facultar a chave de desencriptação, condição para recuperar a informação bloqueada.

Actividade detetada desde julho

A GuidePoint refere registos de abuso do driver do ThrottleStop desde 15 de julho. Até ao momento, o malware parece concentrar-se em sistemas equipados com processadores Intel, uma vez que o software explorado não é compatível com plataformas de outros fabricantes.

Possíveis ligações a falha em VPN da SonicWall

Além do vetor baseado no ThrottleStop, os investigadores suspeitam de envolvimento do Akira num incidente que afetou serviços de VPN da SonicWall. A intrusão terá explorado uma falha ainda não revelada. Como resposta preventiva, a fornecedora de segurança recomendou que os clientes ativem autenticação de dois fatores e recorram ao filtro Botnet/Geo-IP para bloquear endereços suspeitos.

Distribuição através de instaladores falsos da MSI

Outro método de propagação identificado passa por instaladores fraudulentos de software da MSI. Nestes casos, o pacote malicioso instala primeiro o loader Bumblebee, conceito que serve de ponte para descarregar e acionar o próprio Akira. De acordo com o relatório, o intervalo médio entre a infeção inicial e a cifra dos ficheiros ronda as 44 horas.

Deteção e mitigação

Para facilitar a identificação do ataque, a GuidePoint publicou uma regra YARA capaz de reconhecer tanto o rwdrv.sys como o hlpdrv.sys em sistemas Windows. A execução dessa regra permite aos administradores detetar a presença dos drivers suspeitos antes da fase de encriptação.

Embora o Akira utilize componentes assinados, boas práticas de segurança continuam eficazes: manter sistemas e aplicações atualizados, limitar privilégios de conta, aplicar patches a firmware e drivers, e implementar cópias de segurança offline para minimizar impacto caso a cifragem ocorra.

Resumo do processo de ataque

1. Utilizador instala ou executa o ThrottleStop num PC com CPU Intel.
2. O Akira injeta o driver legítimo rwdrv.sys como serviço de nível máximo.
3. Elevado ao kernel, o atacante adiciona o driver malicioso hlpdrv.sys.
4. Este segundo driver altera o Registo e desativa o Microsoft Defender.
5. Sem proteção ativa, o ransomware encripta os ficheiros da vítima e exibe nota de resgate.

Recomendações para utilizadores domésticos e empresas

• Evitar descarregar utilitários de afinação de hardware a partir de repositórios não oficiais.
• Verificar a assinatura digital de drivers antes da instalação.
• Ativar a dupla autenticação em serviços remotos e equipamentos de rede.
• Implementar soluções de segurança de terceiros como camada adicional ao Microsoft Defender.
• Efetuar cópias de segurança frequentes e armazená-las offline ou em locais isolados.

Apesar da complexidade do Akira, a deteção precoce dos drivers adulterados e a aplicação de controlo de privilégios podem travar a cadeia de ataque antes da encriptação, reduzindo assim o impacto financeiro e operacional sobre utilizadores e organizações.

Ransomware Akira desativa Microsoft Defender e cifra ficheiros via software de CPU - Imagem do artigo original

Imagem: tecmundo.com.br

Ransomware Akira desativa Microsoft Defender e cifra ficheiros via software de CPU

Técnica de intrusão explora driver legítimo

Actividade detetada desde julho

Possíveis ligações a falha em VPN da SonicWall

Distribuição através de instaladores falsos da MSI

Deteção e mitigação

Resumo do processo de ataque

Recomendações para utilizadores domésticos e empresas

Estes 10 clássicos dos videojogos celebram 30 anos em 2025

HBO Max anuncia estreias de 21 a 27 de julho com filmes premiados e episódios inéditos

Microsoft Azure usado por Israel para vigiar milhões de chamadas, indica investigação

Seis jogos gratuitos que pode descarregar já para o fim de semana

Como iniciar transmissões ao vivo na Twitch no PC, telemóvel e consola

Estudo revela formações de gelo em Plutão tão altas como a Torre Eiffel

Deixe uma respostaCancelar resposta

Técnica de intrusão explora driver legítimo

Actividade detetada desde julho

Possíveis ligações a falha em VPN da SonicWall

Distribuição através de instaladores falsos da MSI

Deteção e mitigação

Resumo do processo de ataque

Recomendações para utilizadores domésticos e empresas

Compartilhe isso:

Posts Similares

Compartilhe isso:

Compartilhe isso:

Compartilhe isso:

Compartilhe isso:

Compartilhe isso:

Compartilhe isso:

Deixe uma respostaCancelar resposta