Akira Ransomware ve Intel CPU Tuning Driver’ın Kötüye Kullanımı
Son yıllarda siber güvenlik alanındaki tehditler hızla artış göstermiştir. Özellikle, Akira ransomware adı verilen kötü amaçlı yazılım, son zamanlarda dikkat çekici bir şekilde ortaya çıkmış ve birçok güvenlik aracıyla birlikte Microsoft Defender’ı devre dışı bırakma yeteneği kazanmıştır. Akira’nın kullandığı yöntemlerden biri, meşru bir Intel CPU tuning driver’ını kötüye kullanmaktır. Bu süreçte kullanılan sürücü ise ‘rwdrv.sys’ olarak bilinmektedir ve ThrottleStop adı verilen bir uygulama tarafından kullanılmaktadır.
Bu sürücü, siber saldırganlar tarafından bir hizmet olarak kaydedilerek kernel-level erişim sağlanmaktadır. Bu erişim, sistemdeki koruma önlemlerini aşmanın bir yolu olarak değerlendirilmektedir. Kötü niyetli aktörler, kripto para madenciliği ve veri hırsızlığı gibi eylemleri gerçekleştirmek için bu tür teknikleri kullanmaktadır.
Bring Your Own Vulnerable Driver (BYOVD) Saldırıları
Akira ransomware, “Bring Your Own Vulnerable Driver” (BYOVD) adı verilen bir saldırı tekniğini kullanmaktadır. Bu saldırı türünde, saldırganlar, bilinen zayıflıklara veya hatalara sahip olan meşru imzalı sürücüleri kullanarak yetkilendirme yükseltmesi gerçekleştirirler. Örneğin, ‘rwdrv.sys’ sürücüsü, kötü niyetli bir araç olan ‘hlpdrv.sys’ sürücüsünü yüklemek için kullanılmaktadır. hlpdrv.sys, Microsoft Defender’ın korumalarını devre dışı bırakmak için Windows kayıt defterini değiştiren bir araçtır.
Analistler, bu kötü amaçlı yazılımın regedit.exe dosyası aracılığıyla Windows Defender’ın “DisableAntiSpyware” ayarlarını değiştirdiğini belirtmektedir. Bu tür bir davranış, siber güvenlik uzmanları tarafından son derece dikkatle izlenmektedir, çünkü bu tekniklerin sıkça kullanılması, tüm sistem üzerine ciddi bir tehdit oluşturmaktadır. Guidepoint Security tarafından yapılan araştırmalar, bu sürücünün Akira ransomware saldırılarında 15 Temmuz 2025’ten beri tekrar tekrar kötüye kullanıldığını göstermektedir.
SonicWall SSLVPN Üzerindeki Akira Saldırıları
Son dönemde, Akira ransomware, SonicWall VPN’leri üzerinde gerçekleştirilen saldırılarla da ilişkilendirilmiştir. Bu saldırılarda, bilinmeyen bir güvenlik açığının kullanıldığı düşünülmektedir. SonicWall, bu durumla ilgili yapılan bilgilendirmelerde, SSLVPN’in devre dışı bırakılması veya kısıtlanması, çok faktörlü kimlik doğrulamanın (MFA) zorunlu hale getirilmesi ve kullanılmayan hesapların kaldırılması gerektiğini önermektedir.
Diğer yandan, The DFIR Report, son Akira ransomware saldırılarını analiz etmiş ve bu saldırıların, Bumblebee adlı kötü amaçlı yazılım yükleyicisinin kullanılmasıyla gerçekleştirildiğini vurgulamıştır. Bu yükleyici, IT yazılım araçlarının trojanize edilmiş MSI yükleyicileri aracılığıyla kullanıcılara ulaşmakta ve böylece saldırıyı başlatmaktadır.
Bir örnek olarak, Bing’de “ManageEngine OpManager” aramaları yapıldığında SEO zehirlenmesi sonucu kurbanların kötü amaçlı siteye yönlendirildiği gözlemlenmiştir. Akira saldırısını başlatan kötü amaçlı sitenin adresi, opmanager[.]pro’dur. Bu tür tekniklerin varlığı, siber saldırganların ne kadar sofistike hale geldiğini bir kez daha gözler önüne sermektedir.
Saldırının Süreci ve Etkileri
Saldırganlar, Bumblebee aracını DLL sideloading yöntemiyle başlatmaktadır. C2 iletişimi kurulduktan sonra, kalıcı erişim sağlamak amacıyla AdaptixC2 aracı düşürülmektedir. İçeride keşif yaparak, yetkili hesaplar oluşturmakta ve FileZilla’yı kullanarak veri sızdırmakta ve RustDesk ile SSH tünelleri aracılığıyla erişimlerini sürdürmektedirler.
Yaklaşık 44 saat sonra, ana Akira ransomware yükü (locker.exe) sistemleri şifrelemek için dağıtılmaktadır. Bu durum, sistem yöneticilerini son derece dikkatli olmaya ve Akira ile ilgili faaliyetleri izlemeye yöneltmektedir. Ayrıca, güvenlik araştırmalarından gelen belirteçler ortaya çıktıkça filtre ve blok uygulamaları önem kazanmaktadır.
Siber Güvenlikte Alınması Gereken Önlemler
Siber güvenlik uzmanları, kullanıcıların yalnızca resmi web sitelerinden ve ayna sitelerinden yazılım indirmelerini tavsiye etmektedir. Zira taklit siteler, kötü amaçlı yazılımların sıkça kaynağı haline gelmiştir. Ayrıca, organizasyonların, kullanıcıların güvenlik açıklarına dikkat etmelerini sağlamak için sürekli eğitim vermesi ve güvenlik çözümleri uygulaması önerilmektedir.
Sonuç olarak, Akira ransomware üzerindeki bu analizler, siber güvenlik alanında yaşanan karmaşık tehdidin boyutunu gözler önüne sermektedir. Hem bireylerin hem de kurumların, bu tür saldırılara karşı açık olma ve gerekli önlemleri alma sorumluluğu bulunmaktadır.
