惡名昭彰的Akira勒索軟體正在採用一種新型且極具威脅性的攻擊手法，藉由濫用合法軟體的漏洞，來癱瘓受害系統的防禦機制。根據資安公司Guidepoint Security的分析，自2025年7月中旬以來，Akira勒索軟體集團頻繁地利用一個名為「rwdrv.sys」的合法驅動程式，以「攜帶自己弱點驅動程式」（BYOVD）的攻擊模式，成功關閉了微軟內建的Windows Defender。

「rwdrv.sys」這個驅動程式是來自知名CPU調校應用程式ThrottleStop的一部分，其設計目的是為了讓使用者能夠對CPU進行底層設定。然而，Akira駭客利用此驅動程式的特性，使其作為服務運行並取得核心層級的存取權限。一旦獲得高權限，駭客便會載入另一個名為「hlpdrv.sys」的惡意驅動程式，透過這個程式來修改Windows Defender的DisableAntiSpyware註冊表設定，進而關閉所有保護功能。這使勒索軟體能在毫無阻礙的情況下，對系統進行檔案加密和資料竊取。

此攻擊鏈的啟動通常是透過名為Bumblebee的惡意軟體載入程式，這些載入程式常偽裝成合法軟體的MSI安裝檔，並藉由搜尋引擎最佳化（SEO）中毒手法，在Bing等搜尋引擎的搜尋結果中誘騙使用者下載。一旦系統被滲透，駭客便會進行偵察、竊取資料，最終部署Akira勒索軟體來加密受害者的系統。

面對這種日益狡猾的攻擊手法，資安專家強烈建議企業與個人應保持高度警覺。除了確保作業系統和所有軟體隨時更新之外，應嚴格限制系統的管理權限，並定期監控系統日誌中是否有不尋常的驅動程式載入行為。此外，下載任何軟體時，務必從官方網站取得，避免使用第三方來源。同時，啟用多重身分驗證（MFA）和定期備份重要資料，也是降低勒索軟體攻擊風險的關鍵防護措施。

資料來源：https://www.bleepingcomputer.com/news/security/akira-ransomware-abuses-cpu-tuning-tool-to-disable-microsoft-defender/