Die berüchtigte Erpressersoftware Akira hat einen neuen Trick entwickelt, um unbemerkt in Systeme einzudringen und maximale Schäden anzurichten. Aktuellen Berichten zufolge nutzen Akira-Angreifer einen legitimen Intel-CPU-Tuning-Treiber, um den in Windows integrierten Virenschutz Microsoft Defender auszuschalten. Auf diese Weise können sie Sicherheitsmaßnahmen umgehen und ihre Ransomware ungehindert ausführen. Sicherheitsexperten warnen, dass diese Technik – ein sogenannter Bring Your Own Vulnerable Driver (BYOVD) Angriff – seit Mitte Juli 2025 vermehrt in Akira-Angriffskampagnen beobachtet wurde. Gleichzeitig häufen sich Attacken auf VPN-Firewalls des Herstellers SonicWall, was auf eine mögliche noch unbekannte Sicherheitslücke hindeutet. Administratoren und Nutzer aller Erfahrungsstufen sind aufgerufen, wachsam zu sein und empfohlene Schutzmaßnahmen umzusetzen.
Legitimer Intel-Treiber hebelt Windows Defender aus
Fachleute von GuidePoint Security entdeckten, dass Akira-Affiliates gezielt zwei Windows-Treiber einsetzen, um Antiviren- und Endpoint-Security-Systeme außer Gefecht zu setzen. Konkret missbrauchen die Angreifer den Treiber rwdrv.sys, welcher zum populären Intel-Tool ThrottleStop für CPU-Leistungsoptimierung gehört. Dieser legitime Treiber wird von den Kriminellen als Systemdienst installiert, um sich Kernel-Rechte zu verschaffen. Anschließend laden sie einen zweiten, bösartigen Treiber namens hlpdrv.sys, der direkt Einstellungen von Microsoft Defender manipuliert. Beim Ausführen von hlpdrv.sys wird der Registry-Schlüssel DisableAntiSpyware unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender gesetzt, wodurch Microsoft Defender effektiv deaktiviert wird.
Diese raffinierte Methode ist als “Bring Your Own Vulnerable Driver” (BYOVD) bekannt. Dabei schleusen Angreifer einen gültig signierten, aber verwundbaren Treiber ins System ein, um damit erhöhte Privilegien zu erlangen und anschließend Sicherheitstools auszuhebeln. Im Fall von Akira dient rwdrv.sys – ursprünglich für das legitime CPU-Tuning gedacht – als Einfallstor, um den schädlichen hlpdrv.sys mit Kernel-Rechten auszuführen. Dadurch können die Ransomware-Operatoren den Defender ausschalten, ohne von dessen Selbstschutzmechanismen gestoppt zu werden.
GuidePoint berichtet, dass diese Technik seit dem 15. Juli 2025 in zahlreichen Vorfällen mit Akira-Ransomware zum Einsatz kam. „Wir machen auf dieses Verhalten aufmerksam, da es in jüngsten Akira-Zwischenfällen allgegenwärtig ist. Dieser eindeutige Indikator kann für proaktive Erkennung und nachträgliche Jagd auf die Bedrohung genutzt werden“, heißt es im Bericht. Die Forscher haben zur Unterstützung der Verteidiger sogar eine spezielle YARA-Regel veröffentlicht, um den schädlichen Treiber hlpdrv.sys anhand charakteristischer Merkmale aufzuspüren. Außerdem wurde eine Liste von Indikatoren (IoCs) bereitgestellt – darunter Hash-Werte der Treiberdateien, typische Dateipfade (etwa im Temp-Verzeichnis) und die Namen der angelegten Dienste (“mgdsrv” für rwdrv.sys und “KMHLPSVC” für hlpdrv.sys). Sicherheitsverantwortliche können diese Indikatoren nutzen, um verdächtige Aktivitäten im eigenen Netzwerk zu erkennen.
Angriffe auf SonicWall-VPNs werfen Fragen auf
Die neue Treiber-Masche der Akira-Gruppe ist eng verknüpft mit einer aktuellen Angriffswelle auf VPN-Appliances von SonicWall. Seit Juli 2025 registrierten mehrere Security-Firmen vermehrt Einbrüche, bei denen offenbar SonicWall Firewall-Geräte (Generation 7 und neuer) als Einstiegspunkt dienten. Bemerkenswert ist, dass manche der betroffenen Geräte alle verfügbaren Updates installiert hatten und teils sogar mit Multi-Faktor-Authentifizierung geschützt waren – dennoch gelang den Angreifern der Zugriff. Dies lässt vermuten, dass die Akira-Operatoren eine Zero-Day-Schwachstelle in der SonicWall-SSL-VPN-Funktion ausnutzen, also eine Sicherheitslücke, die zum Zeitpunkt der Angriffe noch unbekannt und ungepatcht war.
Der Hersteller SonicWall selbst hat am 4. August 2025 eine Sicherheitsnotiz veröffentlicht, in der er einen „auffälligen Anstieg” von Zwischenfällen im Zusammenhang mit SonicWall-SSLVPN bestätigt. Eine eingehende Untersuchung soll klären, ob ein bereits bekanntes Problem oder tatsächlich eine neue Lücke verantwortlich ist. SonicWall betont, man stehe im engen Austausch mit Sicherheitsforschern (u.a. von Arctic Wolf, Google Mandiant und Huntress) und werde umgehend Firmware-Updates bereitstellen, falls sich ein neues Verwundbarkeit bestätigt. Bereits Anfang des Jahres hatte SonicWall eine kritische Schwachstelle (CVE-2024-53704) in seinen VPN-Diensten gepatcht, und in der Vergangenheit wurde auch eine ältere Lücke (CVE-2024-40766) von Akira und der Ransomware „Fog” für unbefugte VPN-Anmeldungen missbraucht. Die nun beobachtete Angriffswelle ab Juli unterscheidet sich jedoch von den früheren Vorfällen und deutet auf einen neuen Exploit hin.
Als Reaktion auf die akute Bedrohungslage empfiehlt SonicWall vorläufig drastische Maßnahmen. Administratoren sollten – wo immer umsetzbar – den SSL-VPN-Zugang deaktivieren oder zumindest auf unbedingt notwendige Zugriffe beschränken. Ist eine Deaktivierung nicht praktikabel, rät SonicWall dringend, zusätzliche Schutzvorkehrungen zu treffen: Alle Remote-Zugänge müssen mit Multi-Faktor-Authentifizierung (MFA) gesichert sein, und es sollten unbedingt die verfügbaren Security-Services auf den Appliances aktiviert werden (etwa Botnet-Schutz und Geo-IP-Filterung), um bekannte Angriffsversuche abzuwehren. Ebenso wird empfohlen, nicht benötigte Benutzerkonten – speziell solche mit VPN-Zugang – umgehend zu entfernen und generell auf starke Passwörter sowie regelmäßige Passwortwechsel zu achten. Diese Maßnahmen können das Risiko reduzieren, auch wenn sie keinen absoluten Schutz garantieren. Angesichts der aktuellen Angriffe weist etwa der Sicherheitsforscher Satnam Narang (Tenable) darauf hin, dass die Empfehlung, VPNs komplett abzuschalten, zwar radikal und für viele Unternehmen kaum umsetzbar sei – aber zum jetzigen Zeitpunkt der einzig sichere Weg, die laufenden Angriffe zu stoppen. Organisationen, die auf SonicWall angewiesen sind, sollten daher zumindest prüfen, ob sie möglicherweise bereits kompromittiert wurden, und gegebenenfalls Incident-Response-Experten hinzuziehen.
Gefälschte Software-Downloads als weiterer Angriffsweg
Neben der Ausnutzung von VPN-Schwachstellen setzt die Akira-Gruppe auch auf klassische Einschleusungs-Tricks, um in Netzwerke zu gelangen. Ein aktueller Bericht von The DFIR Report beleuchtet eine Kampagne, bei der die Angreifer Suchmaschinen-Manipulation (SEO-Poisoning) einsetzten, um IT-Administratoren auf präparierte Download-Seiten zu locken. So tauchten in Suchergebnissen (z.B. bei Bing) manipulierte Links zu vermeintlichen Installer-Dateien für beliebte IT-Werkzeuge auf. In einem dokumentierten Fall suchte ein Mitarbeiter nach dem Netzwerk-Monitoring-Tool „ManageEngine OpManager” – und landete über einen vergifteten Suchtreffer auf einer gefälschten Website (unter der Domain opmanager[.]pro). Dort wurde eine trojanisierte Installationsdatei angeboten, die zwar das echte gewünschte Programm installierte, im Hintergrund jedoch auch die Malware Bumblebee einschleuste.
Bumblebee fungiert als Malware-Loader und erste Zugriffsplattform für die Angreifer. Nach der Installation etablierte Bumblebee eine Command-and-Control-Verbindung (C2) ins Internet und lud anschließend einen Hintertür-Trojaner namens AdaptixC2 nach, um dauerhaft Zugang zum infiltrierten System zu gewährleisten. Von diesem Ausgangspunkt aus breiteten sich die Akteure schrittweise im internen Netzwerk aus: Sie bewegten sich auf weitere Rechner, verschafften sich Administratorrechte (u.a. durch das Auslesen von Zugangsdaten auf Domain Controllern) und installierten weitere Fernwartungswerkzeuge wie RustDesk (für Remote-Desktop-Zugriff) sowie schufen Ausweichkanäle über SSH-Tunnel. Zudem stahlen sie systematisch Daten – Berichten zufolge nutzten sie dazu z.B. den FTP-Client FileZilla, um große Datenmengen auf externe Server zu übertragen. Nachdem das Netzwerk vollständig unter Kontrolle gebracht und wertvolle Daten exfiltriert worden waren, zündeten die Täter ihre finale Payload: Rund 44 Stunden nach dem Erstzugriff wurde die eigentliche Akira-Ransomware – oft als locker.exe – auf den kompromittierten Systemen ausgeführt, wodurch sämtliche erreichbaren Dateien verschlüsselt wurden. In einem beobachteten Angriff kehrten die Kriminellen sogar noch einmal zurück, um in einem zweiten Durchlauf auch verbundene Unterbereiche des Netzwerks zu verschlüsseln, was den Schaden maximierte.
Diese perfide Masche zeigt, wie vielseitig und geduldig die Akira-Bande vorgeht. Einerseits dringen sie über verwundbare VPN-Geräte in gut gesicherte Unternehmensnetzwerke ein, andererseits nutzen sie Social-Engineering-Tricks und gefälschte Software-Downloads, um sich Zugang zu verschaffen – oft über privilegierte IT-Konten, die solchen Downloads vertrauen. Experten raten dringend, Software stets nur von den offiziellen Hersteller-Webseiten oder renommierten App-Stores herunterzuladen. Suchmaschinen-Ergebnisse können manipuliert sein und auf täuschend echte Nachbau-Webseiten führen. Insbesondere Administratoren mit hohen Berechtigungen sollten darauf achten, Installationsdateien zu verifizieren, um nicht unwissentlich Malware ins Unternehmen zu tragen. Fälle wie diese verdeutlichen, dass kompromittierte Installer zu einer immer häufigeren Quelle von Malware-Infektionen werden.
Schutzmaßnahmen und Fazit
Angesichts der aktuellen Entwicklungen rund um Akira-Ransomware sollten Unternehmen und Anwender jetzt besonders vorsichtig sein. Für Netzwerk- und IT-Administratoren gilt es, die Herstellerempfehlungen konsequent umzusetzen – im aktuellen Fall vor allem die Hinweise von SonicWall zur Absicherung der VPN-Zugänge. Darüber hinaus sollten Sicherheitsteams aktiv nach Spuren der beschriebenen Treiber-Methode suchen: Ein plötzlicher auftauchender Dienst mgdsrv oder KMHLPSVC, bzw. Dateien namens rwdrv.sys und hlpdrv.sys im temporären Verzeichnis, sind ein deutliches Alarmsignal und erfordern sofortige Untersuchungen. Wenn möglich, kann das Aktivieren der Windows-internen Treiber-Sperrliste (Core Isolation / Memory Integrity) helfen, das Laden bekannter verwundbarer Treiber wie rwdrv.sys zu verhindern – vorausgesetzt, diese Funktion ist unterstützt und die betreffenden Treiber sind bereits auf Microsofts Blockliste verzeichnet. Außerdem sollte Microsoft Defender auf allen Endpunkten mit eingeschalteter Manipulationsschutz-Funktion betrieben werden, um eine Deaktivierung zumindest zu erschweren.
Generell unterstreicht die Akira-Kampagne abermals, wie wichtig ein mehrschichtiger Sicherheitsansatz ist: Vom zeitnahen Patchen und Absichern von VPN- und Remote-Zugängen, über den sorgfältigen Umgang mit Downloads, bis hin zur Überwachung ungewöhnlicher Aktivitäten auf Endgeräten. Ransomware-Gruppen wie Akira zeigen sich technisch versiert und einfallsreich – umso wichtiger ist es, dass alle Mitarbeiter sensibilisiert sind und verdächtige Vorgänge melden. Letztlich können nur proaktive Abwehrmaßnahmen, kontinuierliche Überwachung und schnelles Reagieren im Ernstfall den Schaden begrenzen. Die Akira-Angriffe dienen als Weckruf, die eigene IT-Landschaft jetzt auf Schwachstellen zu überprüfen und die empfohlenen Schutzmaßnahmen umzusetzen, bevor man selbst zum nächsten Opfer wird.
Letzte Aktualisierung am 16.08.2025 / Affiliate Links / Bilder von der Amazon Product Advertising API. Alle hier angezeigten Preise und Verfügbarkeiten gelten zum angegebenen Zeitpunkt der Einbindung und können sich jederzeit ändern. Der Preis und die Verfügbarkeit, die zum Kaufzeitpunkt auf Amazon.de angezeigt werden, sind maßgeblich. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.
Quellen
- BleepingComputer: „Akira ransomware abuses CPU tuning tool to disable Microsoft Defender“
- GuidePoint Security Blog: „Observed Malicious Driver Use Associated with Akira SonicWall Campaign“
- CSO Online: „Akira affiliates abuse legitimate Windows drivers to evade detection in SonicWall attacks“
- The DFIR Report: „From Bing Search to Ransomware: Bumblebee and AdaptixC2 Deliver Akira“
- SonicWall Security Notice: „Gen 7 SonicWall Firewalls – SSLVPN Recent Threat Activity“
About the Author
