Reynolds勒索軟件內嵌BYOVD驅動程序以禁用EDR安全工具

2026-03-18 網絡安全軟件 Windows 黑客組織有效載荷

網絡安全研究人員披露了一個名為Reynolds的新興勒索軟件家族的詳細信息，該勒索軟件在其有效載荷中內置了自帶易受攻擊驅動程序（BYOVD）組件，用于防御規避目的。

BYOVD是一種對抗性技術，通過濫用合法但存在缺陷的驅動程序軟件來提升權限并禁用端點檢測與響應（EDR）解決方案，使惡意活動不被發現。多年來，許多勒索軟件團體都采用了這種策略。
Symantec和Carbon Black威脅獵手團隊在與The Hacker News分享的報告中表示：\"通常情況下，攻擊的BYOVD防御規避組件會涉及一個獨立工具，該工具會在勒索軟件有效載荷之前部署到系統上以禁用安全軟件。然而，在這次攻擊中，易受攻擊的驅動程序（NsecSoft NSecKrnl驅動程序）與勒索軟件本身捆綁在一起。 \"
Broadcom的網絡安全團隊指出，在勒索軟件有效載荷中捆綁防御規避組件的策略并非新穎， 2020年的Ryuk勒索軟件攻擊和2025年8月下旬涉及一個較不知名的勒索軟件家族Obscura的事件中都觀察到了這種做法。
在Reynolds攻擊活動中，勒索軟件被設計為投放一個易受攻擊的NsecSoft NSecKrnl驅動程序，并終止與Avast、CrowdStrike Falcon、Palo Alto Networks Cortex XDR、Sophos（以及HitmanPro.Alert）和Symantec Endpoint Protection等各種安全程序相關的進程。
值得注意的是， NSecKrnl驅動程序容易受到已知安全漏洞（CVE-2025-68947 ， CVSS評分：5.7）的攻擊，該漏洞可被利用來終止任意進程。值得注意的是，該驅動程序已被名為Silver Fox的威脅行為者用于在交付ValleyRAT之前殺死端點安全工具的攻擊中。
在過去的一年中，該黑客組織之前曾使用多個合法但存在缺陷的驅動程序——包括truesight.sys和amsdk.sys——作為BYOVD攻擊的一部分來解除安全程序的武裝。
通過將防御規避和勒索軟件能力整合到一個組件中，這使得防御者更難阻止攻擊，更不用說消除了關聯方需要單獨將此步驟納入其作案手法的需要。
Symantec和Carbon Black表示：\"這次攻擊活動中另一個值得注意的是，在勒索軟件部署前幾周，目標網絡上出現了一個可疑的側加載加載器。 \"
勒索軟件部署后一天在目標網絡上部署的另一個工具是GotoHTTP遠程訪問程序，表明攻擊者可能希望保持對受感染主機的持續訪問。
該公司表示：\"BYOVD因其有效性和對合法簽名文件的依賴而受到攻擊者的歡迎，這些文件不太可能引起警覺。 \"
\"將防御規避能力與勒索軟件有效載荷包裝在一起的優勢，以及勒索軟件行為者可能這樣做的原因，可能包括將防御規避二進制文件和勒索軟件有效載荷打包在一起更加'安靜' ，沒有單獨的外部文件投放到受害者網絡上。 \"
這一發現與最近幾周各種勒索軟件相關發展相吻合——
一個大規模釣魚活動使用帶有Windows快捷方式（LNK）附件的電子郵件來運行PowerShell代碼，該代碼獲取Phorpiex投放器，然后用于交付GLOBAL GROUP勒索軟件。該勒索軟件的顯著特點是在受感染系統上本地執行所有活動，使其與氣隙環境兼容。它也不進行數據外泄。
WantToCry發起的攻擊濫用了由ISPsystem（一個合法的虛擬基礎設施管理提供商）配置的虛擬機（VM）來大規模托管和交付惡意有效載荷。一些主機名已在多個勒索軟件操作者的基礎設施中被識別，包括LockBit、Qilin、Conti、BlackCat和Ursnif ，以及涉及NetSupport RAT、PureRAT、Lampion、Lumma Stealer和RedLine Stealer的各種惡意軟件活動。
據評估，防彈托管提供商正在向其他犯罪行為者租賃ISPsystem虛擬機，用于勒索軟件操作和惡意軟件交付，這是通過利用VMmanager默認Windows模板中的設計弱點實現的，該弱點在每次部署時重復使用相同的靜態主機名和系統標識符。這反過來允許威脅行為者設置數千個具有相同主機名的虛擬機，并使取締工作復雜化。
【Reynolds勒索軟件內嵌BYOVD驅動程序以禁用EDR安全工具】DragonForce創建了一個\"公司數據審計\"服務，以在勒索活動期間支持關聯方，這是勒索軟件操作持續專業化的一部分。 LevelBlue表示：\"審計包括詳細的風險報告、準備好的溝通材料（如呼叫腳本和高管級別信函）以及旨在影響談判的戰略指導。 \"DragonForce作為一個卡特爾運作，允許關聯方創建自己的品牌，同時在其保護傘下運營并獲得其資源和服務的訪問權限。
LockBit的最新版本LockBit 5.0被發現使用ChaCha20在Windows、Linux和ESXi環境中加密文件和數據，這是從LockBit 2.0和LockBit 3.0中基于AES的加密方法的轉變。此外，新版本具有擦除組件、在加密前延遲執行的選項、使用進度條跟蹤加密狀態、改進的反分析技術以規避檢測，以及增強的內存執行以最小化磁盤痕跡。
Interlock勒索軟件團體繼續對英國和美國的組織進行攻擊，特別是教育部門，在一個案例中利用\"GameDriverx64.sys\"游戲反作弊驅動程序中的零日漏洞（CVE-2025-61155 ， CVSS評分：5.5）在BYOVD攻擊中禁用安全工具。該攻擊的特點還包括部署NodeSnake/Interlock RAT（又名CORNFLAKE）來竊取敏感數據，而初始訪問據說源于MintLoader感染。
觀察到勒索軟件操作者越來越多地將焦點從傳統的本地目標轉向云存儲服務，特別是Amazon Web Services（AWS）使用的配置錯誤的S3存儲桶，這些攻擊依靠原生云功能來刪除或覆蓋數據、暫停訪問或提取敏感內容，同時保持在雷達之下。
根據Cyble的數據， GLOBAL GROUP是2025年涌現的眾多勒索軟件組織之一，其他還有Devman、DireWolf、NOVA、J group、Warlock、BEAST、Sinobi、NightSpire和The Gentlemen 。僅在2025年第四季度， Sinobi的數據泄露網站列表就增加了306% ，使其成為僅次于Qilin和Akira的第三活躍勒索軟件團體，據ReliaQuest稱。
研究員Gautham Ashok說：\"與此同時， LockBit 5.0的回歸是第四季度最大的變化之一，由季度末的激增推動，該組織僅在12月就列出了110個組織。這一產出表明該組織能夠快速擴展執行、將入侵轉化為影響，并維持能夠大規模運營的關聯管道。 \"
新參與者的出現，加上現有團體之間建立的合作關系，導致了勒索軟件活動的激增。勒索軟件行為者在2025年總共聲稱進行了4737次攻擊，高于2024年的4701次。不涉及加密而僅依靠數據盜竊作為施壓手段的攻擊數量在同一期間達到6182次，比2024年增長23% 。
至于平均勒索贖金， 2025年第四季度的數字為591988美元，比2025年第三季度增長57% ，這是由少數\"超額和解\"推動的， Coveware在上周的季度報告中表示，威脅行為者可能會回到其\"數據加密根源\" ，以獲得更有效的杠桿從受害者那里勒索贖金。
Q&A
Q1：Reynolds勒索軟件與其他勒索軟件有什么不同？
A：Reynolds勒索軟件的主要特點是在其有效載荷中內置了BYOVD組件，與傳統的先部署獨立工具再執行勒索軟件不同， Reynolds將防御規避和勒索功能整合到一個組件中，使攻擊更加隱蔽且難以防御。
Q2：BYOVD技術是如何工作的？
A：BYOVD是指\"自帶易受攻擊驅動程序\"技術，攻擊者利用合法但存在安全缺陷的驅動程序軟件來提升權限并禁用EDR等安全解決方案，由于使用的是合法簽名文件，因此不容易被安全工具檢測到。
Q3：2025年勒索軟件攻擊趨勢如何？
A：2025年勒索軟件攻擊呈現增長趨勢，攻擊者聲稱進行了4737次攻擊，比2024年的4701次有所增加。同時出現了多個新的勒索軟件團體，平均勒索贖金在第四季度達到591988美元，比第三季度增長57% 。

推薦閱讀

上一篇：WatchFit讓你為Apple Watch定制專屬健身計劃

下一篇：一個老人眼中的AI幻象