แฮกเกอร์ผู้อยู่เบื้องหลัง แรนซัมแวร์ Akira กลับมาโจมตีอีกครั้ง โดยใช้วิธีใหม่ที่แนบเนียนมากขึ้น ด้วยการใช้โปรแกรมจาก Intel ที่ถูกต้องตามกฎหมาย มาช่วยในการปิดการทำงานของแอนตี้ไวรัส Microsoft Defender ก่อนจะเริ่มเข้ารหัสไฟล์ในเครื่องของเหยื่อ
วิธีโจมตีทำอย่างไร?
Akira ใช้โปรแกรมชื่อ ThrottleStop ซึ่งมีไดรเวอร์ชื่อ rwdrv.sys ที่สามารถเข้าถึงระดับลึกของระบบ (ระดับเคอร์เนล) จากนั้นแฮกเกอร์จะโหลดไฟล์อันตรายอีกตัวชื่อ hlpdrv.sys เพื่อ แก้ไขการตั้งค่าของ Windows ทำให้ Defender หยุดทำงาน
เมื่อไม่มีโปรแกรมป้องกันคอยสอดส่อง Akira ก็สามารถเข้ารหัสไฟล์ของเหยื่อได้อย่างง่ายดาย และทิ้งข้อความเรียกค่าไถ่ไว้
📌 เทคนิคนี้เริ่มถูกใช้ตั้งแต่วันที่ 15 กรกฎาคม 2025 และพบว่ามีการใช้ซ้ำในหลายกรณี
โจมตีผ่าน VPN และไฟล์ปลอม
นอกจากวิธีปิด Defender แล้ว Akira ยังถูกเชื่อมโยงกับการแอบติดตั้งผ่าน ซอฟต์แวร์ปลอม เช่น ไฟล์ติดตั้งโปรแกรมที่เลียนแบบหน้าเว็บจริง (เช่น opmanager[.]pro) ผ่านการค้นหาบน Bing
เมื่อผู้ใช้เผลอกดติดตั้ง ก็จะโหลดมัลแวร์ชื่อ Bumblebee และติดตั้งเครื่องมือควบคุมจากระยะไกล เช่น RustDesk หรือโปรแกรมเชื่อมต่อ SSH จากนั้นขโมยข้อมูล และเข้ารหัสไฟล์ทุกเครื่องในระบบ ภายในเวลาไม่ถึง 48 ชั่วโมง
วิธีป้องกันตัว
- อย่าดาวน์โหลดซอฟต์แวร์จากเว็บที่ไม่รู้จัก
- อัปเดต Windows และ Defender เป็นเวอร์ชันล่าสุด
- ตั้งระบบให้บล็อกไดรเวอร์ที่ไม่ปลอดภัย (ผ่าน Windows Defender Application Control)
- สแกนระบบหาไฟล์ .sys แปลกปลอม และตรวจสอบว่ามีผู้ใช้ที่ไม่ได้รับอนุญาตหรือไม่
บริการจาก hostatom ที่ช่วยคุณป้องกัน Akira
เพื่อให้คุณรับมือกับภัยร้ายอย่าง Akira ได้อย่างมั่นใจ
แนะนำบริการ Microsoft 365 จาก hostatom ที่จะช่วยคุณในหลายด้าน
ที่มา: Bleeping Computer
