{"id":23000,"date":"2025-09-01T08:00:00","date_gmt":"2025-09-01T11:00:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=23000"},"modified":"2025-08-18T11:03:04","modified_gmt":"2025-08-18T14:03:04","slug":"ransomware-akira","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/09\/exploits\/ransomware-akira\/","title":{"rendered":"Ransomware Akira"},"content":{"rendered":"\n

Akira Ransomware: Abusando de Ferramentas Leg\u00edtimas para Derrubar defesas do Windows<\/strong><\/p>\n

Novidade inquietante no mundo cibercriminal<\/strong>
Surge o Akira<\/strong>, ransomware que tem como alvo direto a prote\u00e7\u00e3o do Windows \u2014 o Microsoft Defender \u2014 utilizando-se do ThrottleStop, ferramenta leg\u00edtima de ajuste de desempenho de CPU. Essa abordagem inovadora explora o driver rwdrv.sys<\/code>, assinado digitalmente pela Intel, para alcan\u00e7ar o kernel do sistema com privil\u00e9gios elevados.<\/p>\n

\u00a0<\/p>\n

Vetores de ataque e funcionamento interno<\/strong>
A infec\u00e7\u00e3o ocorre quando o usu\u00e1rio instala o ThrottleStop em CPU Intel. Em seguida, o Akira injeta rwdrv.sys<\/code> como um servi\u00e7o privilegiado, abrindo caminho para o pr\u00f3ximo est\u00e1gio do ataque: o carregamento de hlpdrv.sys<\/code>, driver malicioso respons\u00e1vel por desativar o Microsoft Defender via altera\u00e7\u00e3o do Registro do Windows.<\/p>\n

\u00a0<\/p>\n

Estrat\u00e9gia BYOVD: \u201cBring Your Own Vulnerable Driver\u201d<\/strong>
Esse modus operandi \u2014 conhecido como BYOVD \u2014 representa o uso de drivers leg\u00edtimos e vulner\u00e1veis para executar cargas maliciosas sem levantar suspeitas. O ataque registra o driver como servi\u00e7o, ganha acesso ao kernel e, por meio dele, injeta outro driver malicioso que desabilita o antiv\u00edrus.<\/p>\n

\u00a0<\/p>\n

Implica\u00e7\u00f5es e revolu\u00e7\u00e3o t\u00e1tica no ransomware<\/strong>
Ap\u00f3s desativar as defesas, o Akira criptografa os dados da v\u00edtima, bloqueando o acesso aos arquivos e exigindo resgate. Essa abordagem mostra-se extremamente perigosa, pois neutraliza a prote\u00e7\u00e3o nativa do sistema antes mesmo do in\u00edcio da encripta\u00e7\u00e3o.<\/p>\n

\u00a0<\/p>\n

Conclus\u00e3o<\/strong>
O ataque do Akira ransomware representa uma evolu\u00e7\u00e3o preocupante no cen\u00e1rio cibern\u00e9tico: n\u00e3o se trata apenas de criptografar dados, mas de neutralizar proativamente a defesa do sistema explorando ferramentas leg\u00edtimas. A t\u00e9cnica BYOVD evidencia a necessidade de revisitar pressupostos cl\u00e1ssicos de prote\u00e7\u00e3o, adotando solu\u00e7\u00f5es capazes de detectar e bloquear ataques que abusam de drivers confi\u00e1veis. A seguran\u00e7a moderna requer monitoramento proativo, an\u00e1lise de comportamentos at\u00edpicos em drivers e defesa em profundidade, com foco na detec\u00e7\u00e3o de abuso de privil\u00e9gios ao n\u00edvel do kernel \u2014 antes que o dano se torne irrevers\u00edvel.<\/p>\n

\u00a0<\/p>\n

Refer\u00eancia Bibliogr\u00e1fica<\/strong><\/p>\n