Gelombang serangan ransomware Akira kini semakin canggih dengan memanfaatkan celah pada layanan VPN SonicWall serta penyalahgunaan driver Windows untuk melumpuhkan antivirus dan sistem keamanan EDR (Endpoint Detection & Response). Meskipun belum ditemukan celah resmi di SonicWall VPN, pola serangan yang berulang membuat situasi ini menjadi ancaman serius bagi perusahaan.

Bagaimana Modusnya?

• Penyerang awalnya menerobos akses VPN SonicWall.

• Mereka menginstal dua driver di Windows secara berurutan:

  • Driver pertama sebenarnya legal, biasanya dipakai alat pemantau CPU, namun disalahgunakan agar penyerang mendapat akses level kernel.

  • Driver kedua bersifat jahat, digunakan untuk mematikan perlindungan Windows Defender melalui perubahan di registry Windows.

• Urutan instalasi driver ini membuka peluang bagi ransomware Akira untuk beraksi tanpa terdeteksi oleh antivirus maupun proteksi EDR.

• Jejak driver jahat ini sudah diketahui secara luas dan peneliti keamanan telah membuat YARA rule (aturan deteksi) untuk membantu menemukan file berbahaya tersebut.

Langkah Pencegahan yang Disarankan

• Perkuat akses VPN dengan autentikasi dua faktor dan pembatasan IP yang diizinkan.

• Periksa log sistem dan cari tanda penggunaan driver atau perubahan registry yang mencurigakan.

• Terapkan aturan deteksi (YARA rule) untuk mengenali aktivitas sebelum ransomware mulai mengenkripsi data.

• Pastikan sistem dan software selalu up-to-date serta lakukan audit keamanan secara rutin.

Dampak
Jika serangan ini berhasil, data penting perusahaan dapat dienkripsi dan aktivitas operasional lumpuh, karena penyerang bisa menonaktifkan deteksi serta bertahan lama di sistem.

Untuk detail teknis dan sumber terpercaya, Anda dapat membaca laporan lengkapnya di:

• https://cybersecuritynews.com/akira-ransomware-uses-windows-drivers/