Akira-ransomware treft SonicWall VPN's en implementeert drivers om de beveiliging te omzeilen

Een nieuw rapport van cybersecuritybedrijf GuidePoint Security onthult een slimme nieuwe methode die de Akira-ransomwaregroep gebruikt om computernetwerken aan te vallen. Onderzoekers ontdekten dat hackers na de eerste toegang tot systemen twee specifieke softwaredrivers gebruikten om heimelijk beveiligingstools uit te schakelen, een belangrijke stap voordat ze hun ransomware inzetten.

De ontdekking van GuidePoint Security, gedeeld met Hackread.com, wordt beschouwd als een bevinding met hoge prioriteit omdat deze herhaaldelijk is waargenomen bij recente aanvallen van Akira, dat sinds eind juli misbruik maakt van beveiligingslekken in SonicWall VPN's . Dit nieuwe inzicht geeft bedrijven een betere kans om deze aanvallen te ontdekken en te stoppen voordat ze grote schade kunnen aanrichten. De activiteiten van de hackersgroep zijn ten minste terug te voeren tot 15 juli 2025.

Het rapport legt uit hoe hackers toegang krijgen door kwetsbaarheden in SonicWall VPN's te misbruiken. Eenmaal binnen gebruiken ze twee drivers, kleine softwareprogramma's die de hardware en software van een computer helpen communiceren.

Eén van de drivers, rwdrv.sys genaamd, is in feite een legitiem bestand van een prestatietool voor Intel CPU's, maar hackers misbruiken het om krachtige toegang op kernelniveau tot het getroffen apparaat te verkrijgen. Dit geeft hen diepgaande controle over de werking van de computer.

De tweede driver, hlpdrv.sys, is schadelijk. Deze is bedoeld om Windows Defender, de ingebouwde antivirussoftware, specifiek aan te vallen en uit te schakelen. Door deze twee drivers in een specifieke volgorde te gebruiken, kunnen aanvallers de beveiligingssoftware van een systeem effectief blokkeren en zo de weg vrijmaken om hun ransomware te lanceren.

Een geschiedenis van aanvallen op bedrijven

Deze nieuwe campagne is niet de eerste keer dat Akira zich richt op bedrijfsnetwerken via beveiligingslekken. In augustus 2023 werd vastgesteld dat de groep kwetsbaarheden in Cisco VPN-producten misbruikte om ongeautoriseerde toegang te verkrijgen en ransomware-aanvallen uit te voeren.

Meer recent, in april 2025, berichtte Hackread.com ook over een nieuwe spamcampagne van AkiraBot , een tool die AI gebruikt om gepersonaliseerde spamberichten voor kleine bedrijven te creëren. Deze eerdere campagnes laten zien dat Akira een hardnekkige en aanpasbare bedreiging vormt voor een breed scala aan sectoren, van onderwijs en gezondheidszorg tot de maakindustrie.

GuidePoint Security raadt beveiligingsprofessionals ten zeerste aan om actief te zoeken naar deze twee drivers in hun systemen. Ze hebben ook een speciale regel, de zogenaamde YARA-regel, ontwikkeld om hierbij te helpen. Deze tool helpt beveiligingsteams hun systemen te scannen op de unieke patronen van deze kwaadaardige drivers, wat snelle detectie mogelijk maakt.

Daarnaast heeft SonicWall een eigen advies opgesteld voor klanten. Hierin wordt het gebruik van multi-factor authenticatie (MFA) aanbevolen om het inloggen veiliger te maken, te beperken wie er verbinding kan maken met de VPN en ervoor te zorgen dat alle beveiligingsservices zijn ingeschakeld.