Un reciente informe de GuidePoint Security revela un método que permite saltarse la protección de Microsoft Defender en Windows, mediante la explotación de un controlador legítimo vulnerable (rwdrv.sys) utilizado por la herramienta ThrottleStop. Esta técnica, conocida como BYOVD (“Bring Your Own Vulnerable Driver”), facilita que los atacantes instalen el ransomware Akira. Analizamos la mecánica del ataque, su impacto en el sistema, las recomendaciones para protegerse y el contexto más amplio del auge de este tipo de amenazas, con un enfoque claro y detallado.

Brechas en la seguridad: cómo el ransomware desactiva Microsoft Defender

Este nuevo método de ataque se sirve de la herramienta ThrottleStop, usada habitualmente para ajustar el rendimiento de CPUs Intel. Los ciberdelincuentes aprovechan el controlador legítimo rwdrv.sys, que posee firmas digitales válidas, para infiltrarse a nivel del kernel del sistema. Una vez comprometido este nivel, cargan un controlador malicioso —hlpdrv.sys— que modifica el registro de Windows para desactivar completamente Microsoft Defender, lo que permite la instalación del ransomware sin obstáculos visibles.. Esta estrategia forma parte de la táctica BYOVD, donde se abusa de drivers firmados pero vulnerables para evitar las defensas tradicionales.

Akira ransomware: la amenaza que aprovecha esta estrategia

Con Microsoft Defender desactivado de forma silenciosa, el ransomware Akira se instala con facilidad. Este malware cifra archivos, exige rescate y bloquea el acceso normal del usuario al sistema. La llegada de este ataque escaló desde julio y los investigadores lo han detectado en múltiples vectores, anticipando un incremento en campañas similares. Gracias a la intervención temprana de análisis como los de GuidePoint Security, se han publicado reglas YARA y señales de compromiso (IoC) que facilitan detectar manipulaciones de registro y presencia de los drivers afectados

Contexto y comparación con tácticas precedentes

Este tipo de ataque no es el primero en socavar las defensas de Windows: en 2017, el malware WannaCry utilizó el exploit EternalBlue para propagarse masivamente y provocar daños multimillonarios. El ataque actual se diferencia en que no aprovecha una vulnerabilidad sin parchear, sino un controlador legítimo vulnerable ya firmado, lo que complica su detección. Además, mientras otros ataques aprovechaban VPNs desactualizadas o credenciales débiles, este método evita por completo las barreras del antivirus integrado.. La clave reside en que, al desactivar Defender desde el propio registro, el sistema queda completamente desprotegido frente a la ejecución del ransomware.

Recomendaciones y medidas proactivas

Para protegerse de esta amenaza, los expertos recomiendan varias medidas cruciales: utilizar software antivirus de confianza además de Defender, mantener Windows actualizado, y evitar descargar herramientas desde fuentes no oficiales. También se aconseja implementar sistemas de detección que identifiquen la presencia de los drivers rwdrv.sys y hlpdrv.sys, así como monitorizar cambios en el registro relacionados con Defender, mediante reglas YARA u otras técnicas de detección de IoC. En un contexto más amplio, se refuerza la necesidad de una protección por capas, que vaya más allá del antivirus, incluyendo soluciones de EDR (Endpoint Detection and Response) y control de integrity checks en el sistema.

Conclusión

La explotación del controlador ThrottleStop para desactivar Microsoft Defender y facilitar la instalación del ransomware Akira representa un paso significativo en las tácticas de ataque: no aprovecha fallos vulnerables en el software, sino drivers legítimos con debilidades ocultas. Esto subraya la importancia de una defensa multifacética y de detectar comportamientos sospechosos, incluso en componentes firmados. Aunque esta estrategia sigue vigente desde julio, la pronta respuesta de la comunidad de seguridad ha permitido contener su expansión mediante detección proactiva y prácticas recomendadas. La ciberseguridad moderna exige estar siempre alerta, actualizados y protegidos por capas diversas de defensa.