Pesquisadores em cibersegurança revelaram detalhes de uma nova família de ransomware chamada Reynolds, que incorpora um componente de defesa conhecido como bring your own vulnerable driver (BYOVD) diretamente no payload do malware.
BYOVD é uma técnica que explora drivers legítimos, mas vulneráveis, para escalar privilégios e desabilitar soluções de Endpoint Detection and Response (EDR), permitindo que ações maliciosas passem despercebidas.
Essa abordagem vem sendo adotada por diversos grupos de ransomware ao longo dos anos.
Segundo a equipe Threat Hunter da Symantec e da Carbon Black, normalmente o componente BYOVD é um software separado, instalado antes do ransomware para desativar os sistemas de segurança.
No entanto, no caso do Reynolds, o driver vulnerável NsecSoft NSecKrnl está integrado ao malware, tornando o ataque mais silencioso e difícil de detectar.
O time de segurança da Broadcom ressalta que essa tática de incorporar o mecanismo de evasão diretamente no ransomware não é inédita.
Ataques semelhantes foram observados em 2020 com o Ryuk e em uma campanha recente contra o ransomware Obscura, em agosto de 2025.
Na campanha Reynolds, o ransomware injeta o driver vulnerável NsecSoft NSecKrnl para encerrar processos de antivírus e sistemas de proteção, como Avast, CrowdStrike Falcon, Palo Alto Cortex XDR, Sophos, HitmanPro.Alert e Symantec Endpoint Protection.
O driver NSecKrnl apresenta uma falha conhecida (
CVE-2025-68947
, com gravidade CVSS 5.7) que permite o encerramento de processos arbitrários.
Esse mesmo driver já foi utilizado pelo grupo Silver Fox para desativar ferramentas de proteção antes da instalação do malware ValleyRAT.
Nos últimos meses, o grupo Silver Fox tem empregado múltiplos drivers legítimos, porém vulneráveis — como truesight.sys e amsdk.sys — para realizar ataques BYOVD e neutralizar sistemas de defesa.
Ao combinar a evasão de defesa com o ransomware em um único componente, torna-se mais difícil para os analistas interromperem o ataque.
Além disso, elimina a necessidade de parceiros criminosos implementarem essas etapas separadamente em suas operações.
Outro ponto destacado pela Symantec e pela Carbon Black foi a detecção de um carregador side-loaded suspeito na rede da vítima semanas antes do ransomware ser acionado, sugerindo preparativos antecipados para o ataque.
Além disso, um dia após a ativação do ransomware, os invasores instalaram o programa de acesso remoto GotoHTTP, indicando a intenção de manter acesso persistente às máquinas comprometidas.
A popularidade do BYOVD entre cibercriminosos explica-se pela sua eficácia e pelo uso de arquivos legítimos e assinados digitalmente, o que reduz as chances de levantar suspeitas.
No contexto mais amplo das ameaças recentes, outros movimentos preocupantes foram identificados:
- Uma campanha de phishing em larga escala usou anexos LNK (atalhos do Windows) para executar comandos PowerShell que baixam um dropper Phorpiex, responsável por instalar o ransomware GLOBAL GROUP.
Esse malware opera inteiramente localmente, sem exfiltração de dados, tornando-se adequado para ambientes air-gapped.
- O grupo WantToCry tem explorado máquinas virtuais (VMs) fornecidas pela ISPsystem, um provedor legítimo, para distribuir cargas maliciosas.
As VMs reaproveitam nomes de host e identificadores estáticos, facilitando a criação de milhares de ambientes idênticos e complexificando operações de bloqueio.
- O cartel DragonForce lançou um serviço chamado "Company Data Audit" para apoiar afiliados em campanhas de extorsão, oferecendo relatórios de risco, materiais para comunicação e orientações estratégicas para negociações.
O grupo permite que afiliados operem com suas próprias marcas, mas com acesso a seus recursos.
- A versão mais recente do LockBit, o LockBit 5.0, agora utiliza a criptografia ChaCha20 em vez de AES, ampliando a compatibilidade para Windows, Linux e ESXi.
As novidades incluem componente wiper, atraso na execução, barra de progresso para a encriptação, técnicas aprimoradas de anti-análise e execução em memória para reduzir vestígios.
- A gangue Interlock tem atacado instituições no Reino Unido e nos EUA, especialmente no setor educacional, explorando uma vulnerabilidade zero-day no driver anti-cheat GameDriverx64.sys (
CVE-2025-61155
, CVSS 5.5) para desabilitar ferramentas de defesa via BYOVD, além de implantar o RAT NodeSnake/Interlock para roubo de dados.
O acesso inicial ocorreu por meio do MintLoader.
- Há um crescimento constante do foco dos operadores de ransomware em serviços de armazenamento em nuvem, especialmente buckets S3 mal configurados na Amazon Web Services (AWS).
Os ataques exploram recursos nativos da nuvem para deletar, sobrescrever dados, suspender acessos e extrair informações confidenciais, com o objetivo de permanecer invisíveis.
De acordo com dados da Cyble, 2025 marcou o surgimento de diversos grupos notórios, como GLOBAL GROUP, Devman, DireWolf, NOVA, J group, Warlock, BEAST, Sinobi, NightSpire e The Gentlemen.
No quarto trimestre, o Sinobi apresentou um aumento de 306% nos registros de vazamentos de dados, posicionando-se como o terceiro grupo mais ativo, atrás apenas do Qilin e do Akira.
O pesquisador Gautham Ashok comentou que a retomada do LockBit 5.0 foi um dos eventos mais expressivos do último trimestre, com 110 organizações listadas apenas em dezembro.
Isso indica uma grande capacidade do grupo para escalar operações, transformar invasões em impactos práticos e manter uma rede ativa de afiliados.
O crescimento de novos atores, aliado a parcerias entre grupos já estabelecidos, contribui para o aumento geral da atividade de ransomware.
Foram registrados 4.737 ataques em 2025, contra 4.701 em 2024.
Os casos que não envolvem encriptação, mas focam no roubo de dados para extorsão, chegaram a 6.182, alta de 23%.
O valor médio dos pagamentos de resgate subiu para US$ 591.988 no quarto trimestre de 2025, um salto de 57% em relação ao trimestre anterior, influenciado por acordos excepcionais.
Segundo o relatório da Coveware, essa tendência pode levar atores a priorizarem novamente a encriptação de dados para pressionar vítimas.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...