Ransomware Akira

Akira Ransomware: Abusando de Ferramentas Legítimas para Derrubar defesas do Windows

Novidade inquietante no mundo cibercriminal
Surge o Akira, ransomware que tem como alvo direto a proteção do Windows — o Microsoft Defender — utilizando-se do ThrottleStop, ferramenta legítima de ajuste de desempenho de CPU. Essa abordagem inovadora explora o driver rwdrv.sys, assinado digitalmente pela Intel, para alcançar o kernel do sistema com privilégios elevados.

 

Vetores de ataque e funcionamento interno
A infecção ocorre quando o usuário instala o ThrottleStop em CPU Intel. Em seguida, o Akira injeta rwdrv.sys como um serviço privilegiado, abrindo caminho para o próximo estágio do ataque: o carregamento de hlpdrv.sys, driver malicioso responsável por desativar o Microsoft Defender via alteração do Registro do Windows.

 

Estratégia BYOVD: “Bring Your Own Vulnerable Driver”
Esse modus operandi — conhecido como BYOVD — representa o uso de drivers legítimos e vulneráveis para executar cargas maliciosas sem levantar suspeitas. O ataque registra o driver como serviço, ganha acesso ao kernel e, por meio dele, injeta outro driver malicioso que desabilita o antivírus.

 

Implicações e revolução tática no ransomware
Após desativar as defesas, o Akira criptografa os dados da vítima, bloqueando o acesso aos arquivos e exigindo resgate. Essa abordagem mostra-se extremamente perigosa, pois neutraliza a proteção nativa do sistema antes mesmo do início da encriptação.

 

Conclusão
O ataque do Akira ransomware representa uma evolução preocupante no cenário cibernético: não se trata apenas de criptografar dados, mas de neutralizar proativamente a defesa do sistema explorando ferramentas legítimas. A técnica BYOVD evidencia a necessidade de revisitar pressupostos clássicos de proteção, adotando soluções capazes de detectar e bloquear ataques que abusam de drivers confiáveis. A segurança moderna requer monitoramento proativo, análise de comportamentos atípicos em drivers e defesa em profundidade, com foco na detecção de abuso de privilégios ao nível do kernel — antes que o dano se torne irreversível.

 

Referência Bibliográfica