Il ransomware Akira colpisce le VPN di SonicWall e distribuisce driver per aggirare la sicurezza

Un nuovo rapporto dell'azienda di sicurezza informatica GuidePoint Security rivela un nuovo metodo ingegnoso utilizzato dal gruppo ransomware Akira per attaccare le reti informatiche. I ricercatori hanno scoperto che, dopo l'accesso iniziale ai sistemi, gli hacker hanno utilizzato due driver software specifici per disattivare segretamente gli strumenti di sicurezza, un passaggio fondamentale prima di distribuire il ransomware.

La scoperta di GuidePoint Security, condivisa con Hackread.com, è considerata di alta priorità perché è stata osservata ripetutamente nei recenti attacchi di Akira, che sfrutta le falle di sicurezza nelle VPN di SonicWall da fine luglio. Questa nuova analisi offre alle aziende maggiori possibilità di individuare e bloccare questi attacchi prima che possano causare danni ingenti. L'attività del gruppo di hacker è stata fatta risalire almeno al 15 luglio 2025.

Il rapporto spiega come gli hacker riescono ad accedere sfruttando le vulnerabilità delle VPN SonicWall. Una volta all'interno, utilizzano due driver, piccoli programmi software che aiutano l'hardware e il software di un computer a comunicare.

Uno dei driver, denominato rwdrv.sys, è in realtà un file legittimo di uno strumento di analisi delle prestazioni per CPU Intel, ma gli hacker lo stanno utilizzando in modo improprio per ottenere un accesso potente a livello kernel al dispositivo interessato. Questo consente loro di avere un controllo approfondito sulle operazioni del computer.

Il secondo driver, hlpdrv.sys, è dannoso. Il suo compito è quello di colpire e disattivare specificamente Windows Defender, il software antivirus integrato. Utilizzando questi due driver in un ordine specifico, gli aggressori possono efficacemente accecare il software di sicurezza di un sistema, aprendo la strada al lancio del loro ransomware.

Una storia di attacchi alle aziende

Questa nuova campagna non è la prima volta che Akira prende di mira le reti aziendali sfruttando vulnerabilità di sicurezza. Nell'agosto 2023, il gruppo è stato identificato come colui che sfruttava le debolezze dei prodotti VPN Cisco per ottenere accessi non autorizzati e lanciare attacchi ransomware.

Più di recente, nell'aprile 2025, Hackread.com ha anche parlato di una nuova campagna spam di AkiraBot , uno strumento che utilizza l'intelligenza artificiale per creare messaggi di spam personalizzati per le piccole imprese. Queste campagne precedenti dimostrano che Akira è una minaccia persistente e adattabile a un'ampia gamma di settori, dall'istruzione alla sanità, fino alla produzione manifatturiera.

GuidePoint Security consiglia vivamente ai professionisti della sicurezza di ricercare attivamente questi due driver sui propri sistemi. Per agevolare questa iniziativa, l'azienda ha anche messo a disposizione una regola speciale, chiamata regola YARA. Si tratta di uno strumento che aiuta i team di sicurezza a scansionare i sistemi per individuare i pattern univoci di questi driver dannosi, consentendone un rilevamento rapido.

Separatamente, SonicWall ha pubblicato i propri consigli per i clienti, raccomandando di utilizzare l'autenticazione a più fattori (MFA) per rendere l'accesso più sicuro, limitando chi può connettersi alla VPN e assicurandosi che tutti i servizi di sicurezza siano attivati.