Bilgisayar korsanları, saldırılarda Intel CPU Sürücüsü'nü kullanarak Windows Defender'ı devre dışı bıraktı

Modern Windows PC'leri, kötü amaçlı yazılımlara karşı ilk savunma hattı olarak Microsoft Defender'a güvenir. Yıllar boyunca, geniş bir tehdit yelpazesini engelleyen yetenekli ve sıklıkla hafife alınmış bir antivirüse dönüştü. Ancak bir hacker grubu, Microsoft Defender'ı tamamen devre dışı bırakmak için “kendi savunmasız sürücünüzü getir” (BYOVD) saldırısında meşru bir Intel CPU ayar sürücüsünü kötüye kullanmanın bir yolunu buldu.

Teknik, Temmuz ayı ortalarından beri gözlemlenmiştir ve aktif fidye yazılımı kampanyalarında zaten kullanılmaktadır. Yöntem, bir yazılım hatasından yararlanmaya veya açıkça kötü amaçlı bir dosya sunmaya güvenmez. Bunun yerine, Windows sürücü sisteminin derin donanım erişimine izin vermek için nasıl tasarlandığından yararlanır.

Saldırı ve nasıl güvende kalabileceğiniz hakkında bilmeniz gereken her şeyi tartışalım.

Sosyal medya olmadan bile dolandırıcılar sizi nasıl hedefliyor?

Ücretsiz Cyberguy raporum için kaydolun
En iyi teknoloji ipuçlarımı, acil güvenlik uyarılarımı ve doğrudan gelen kutunuza teslim edilen özel fırsatları alın. Ayrıca, nihai dolandırıcılık hayatta kalma rehberime anında erişeceksiniz – Cyberguy.com bülten.

Akira Ransomware Microsoft Defender'ı nasıl devre dışı bırakır

Akira Ransomware Group, performans tweaking aracı Throttlestop'tan RWDRV.SYS adlı meşru bir Intel CPU ayar sürücüsü kullanarak güvenlik araçlarını atlamak için yeni bir yol geliştirdi. Güvenlik firması GuidePoint Security, saldırganların Windows sistemlerine çekirdek düzeyinde erişim elde etmek için bu sürücüyü yüklediğini, daha sonra Microsoft Defender'ı kapatmak için regedit.exe üzerinden devregantispyware kayıt defteri ayarını değiştiren ikinci bir kötü amaçlı sürücü olan HLPDRV.sys yüklediğini söylüyor.

Defender devre dışı bırakıldıktan sonra, saldırganlar tespit edilmeyen diğer kötü amaçlı programları çalıştırabilir. GuidePoint, bu yöntemin Temmuz ortasından bu yana Akira kampanyalarında tutarlı bir şekilde tespit edildiğini söylüyor.

Akira fidye yazılımı grubu, erişim elde etmek için meşru bir sürücüden yararlanarak Windows işletim sistemlerine sızmaktadır. (Kurt “Cyberguy” Knutsson)

Akira Ransomware, Microsoft Defender ve Sonicwall VPN'leri hedefler

Aynı grup ayrıca Sonicwall VPN cihazlarını hedefleyen saldırılara da bağlanmıştır. Sonicwall, bu olayların muhtemelen yepyeni bir sıfır gün yerine bilinen bir güvenlik açığı, CVE-2024-40766 içerdiğini belirtti. Şirket, VPN erişiminin kısıtlanmasını, çok faktörlü kimlik doğrulamasını etkinleştirmenizi ve kullanılmayan hesapların derhal savunma olarak devre dışı bırakılmasını önerir.

Akira saldırıları genellikle verileri çalmayı, gizli uzaktan erişimin ayarlanmasını ve bir kuruluş genelinde dosyaları şifrelemek için fidye yazılımlarını dağıtmayı içerir. Güvenlik uzmanları, sahte veya benzeyen web sitelerinin bu kötü niyetli araçları dağıtmak için giderek daha fazla kullanıldığı konusunda uyarıyor.

FBI, yaşlıları milyar dolarlık aldatmaca tutan emeklilik fonları konusunda uyarıyor, uzman AI'nın sürdüğünü söylüyor

GuidePoint'teki araştırmacılar, bu etkinliği tanımlamaya yardımcı olmak için dosya adları, hizmet adları, SHA-256 karmalar ve dosya yolları ile birlikte bir Yara algılama kuralı yayınladılar. Yöneticilerin bu göstergeleri aktif olarak izlemelerini, yeni IOC'ler ortaya çıktıkça filtreleme ve engelleme kurallarını uygulamalarını ve yalnızca resmi veya doğrulanmış kaynaklardan yazılım indirmesini önerirler.

Bir yorum için Microsoft'a ulaştık, ancak son teslim tarihinden önce duymadık.

Antivirüs yazılımı, iki faktörlü kimlik doğrulama ve veri kaldırma hizmetleri, Windows kullanıcılarının kendilerini bilgisayar korsanlarından koruyabilmelerinin sadece birkaç yoludur. (Cyberguy.com)

Kendinizi Akira Fidye Yazılımlarına ve benzeri tehditlere karşı korumanın 6 yolu

Microsoft Defender saldırısı akıllı ve tehlikelidir, ancak savunmadan değilsiniz. Güvende kalmanıza yardımcı olacak birkaç ipucu:

1) Güçlü antivirüs yazılımı kullanın

Düzenli güncellemelerle bile, yerleşik savunmalar devre dışı bırakılırsa Windows sistemleri açığa çıkabilir. Gerçek zamanlı koruma, çekirdek düzeyinde izleme ve sık güncellemeler olan güçlü bir antivirüs yazılımı yedekleme güvenliği sağlayabilir. Kendinizi özel bilgilerinize erişen kötü amaçlı yazılım yükleyen kötü amaçlı bağlantılardan korumanın en iyi yolu, tüm cihazlarınıza güçlü bir antivirüs yazılımına sahip olmaktır. Bu koruma, kişisel bilgilerinizi ve dijital varlıklarınızı güvende tutarak kimlik avı e -postaları ve fidye yazılımı dolandırıcılığı konusunda sizi uyarabilir.

Windows, Mac, Android ve iOS cihazlarınız için en iyi 2025 Antivirüs koruma kazananları için seçimlerimi alın Cyberguy.com.

2) Maruziyeti sınırlayın

Birçok istismar, gölgeli bir bağlantıyı tıklamak, tehlikeye atılan bir dosyayı indirmek veya güvenilmeyen bir sanal disk monte etmek gibi kullanıcı etkileşimine güvenir. Saygın web sitelerine sadık kalın, istenmeyen e-posta eklerini açmaktan kaçının ve yerleşik güvenlik özelliklerine sahip bir tarayıcı kullanın (Microsoft Edge veya Güvenli Göz atma etkinleştirilmiş Chrome gibi).

3) Beklenmedik komutları çalıştırmaktan kaçının

Anlamadığınız veya rastgele web sitelerinden kopyalandığınız komutları (PowerShell komut dosyaları gibi) yapmayın veya çalıştırmayın. Saldırganlar genellikle kullanıcıları bilmeden kötü amaçlı yazılımları bu şekilde çalıştırmaya kandırırlar.

Google, bilinen hacker grubunun ihlalinde çalınan verileri doğrular

4) Yazılımınızı güncel tutun

İşletim sisteminizi, tarayıcılarınızı ve tüm yazılım uygulamalarınızı düzenli olarak güncelleyin. Güncellemeler genellikle kötü amaçlı yazılımların kullanabileceği güvenlik açıkları için yamalar içerir.

5) İki faktörlü kimlik doğrulama kullanın (2FA)

Tüm hesaplarınızda 2FA'yı etkinleştirin. Bu, ikinci bir doğrulama biçimi gerektirerek ekstra bir güvenlik katmanı ekler ve saldırganların şifrenizi olsa bile erişim kazanmasını zorlaştırır.

6) Kişisel Veri Kaldırma Hizmetlerine Yatırım

Güçlü cihaz güvenliği ile bile, kişisel bilgileriniz hala veri brokerleri ve insan bulucu siteleri aracılığıyla çevrimiçi olarak ortaya çıkabilir.

Hiçbir hizmet verilerinizin İnternet'ten tamamen kaldırılmasını garanti edebilse de, bir veri kaldırma hizmeti gerçekten akıllı bir seçimdir. Onlar ucuz değiller – ve gizliliğiniz de değil. Bu hizmetler, kişisel bilgilerinizi yüzlerce web sitesinden aktif olarak izleyerek ve sistematik olarak silerek sizin için tüm işi yapar. Bana huzur veren ve kişisel verilerinizi internetten silmenin en etkili yolu olduğunu kanıtlayan şey bu. Mevcut bilgileri sınırlandırarak, dolandırıcıların çapraz referans verme riskini, karanlık ağda bulabilecekleri bilgilerle ihlallerden elde etme riskini azaltarak sizi hedeflemelerini zorlaştırırsınız.

Veri kaldırma hizmetleri için en iyi seçimlerime göz atın ve kişisel bilgilerinizin ziyaret ederek web'de zaten çıkıp çıkmadığını öğrenmek için ücretsiz bir tarama alın Cyberguy.com.

Kişisel bilgilerinizin zaten web'de olup olmadığını öğrenmek için ücretsiz bir tarama alın: Cyberguy.com.

Haberler uygulamasını almak için buraya tıklayın

Kurt'un Anahtar Takeaway

Akira'nın hilesi, Windows'un belirli araçlara nasıl güvendiğinde daha büyük bir kusur gösteriyor. Zararsız CPU ayarlaması için tasarlanan bir sürücü, güvenliği kapatmanın anahtarıdır. Meşru bir kaynaktan olduğu için, Windows sadece soru sormadan izin verir. Bilgisayar korsanlarının her zaman dışarıdan içeri girdiğini düşünüyoruz. Burada, sistemin kendi kurallarını kullanarak zaten güven çemberinin içindeler.

Microsoft, fidye yazılımı gruplarının savunucuyu devre dışı bırakmasını durdurmak için daha fazlasını yapmalı mı? Bize yazarak bize bildirin Cyberguy.com.

Ücretsiz Cyberguy raporum için kaydolun
En iyi teknoloji ipuçlarımı, acil güvenlik uyarılarımı ve doğrudan gelen kutunuza teslim edilen özel fırsatları alın. Ayrıca, nihai dolandırıcılık hayatta kalma rehberime anında erişeceksiniz – Cyberguy.com bülten.

Telif Hakkı 2025 Cyberguy.com. Her hakkı saklıdır.