Reynolds勒索软件内嵌BYOVD驱动程序以禁用EDR安全工具

网络安全研究人员披露了一个名为Reynolds的新兴勒索软件家族的详细信息，该勒索软件在其有效载荷中内置了自带易受攻击驱动程序（BYOVD）组件，用于防御规避目的。

BYOVD是一种对抗性技术，通过滥用合法但存在缺陷的驱动程序软件来提升权限并禁用端点检测与响应（EDR）解决方案，使恶意活动不被发现。多年来，许多勒索软件团体都采用了这种策略。

Symantec和Carbon Black威胁猎手团队在与The Hacker News分享的报告中表示："通常情况下，攻击的BYOVD防御规避组件会涉及一个独立工具，该工具会在勒索软件有效载荷之前部署到系统上以禁用安全软件。然而，在这次攻击中，易受攻击的驱动程序（NsecSoft NSecKrnl驱动程序）与勒索软件本身捆绑在一起。"

Broadcom的网络安全团队指出，在勒索软件有效载荷中捆绑防御规避组件的策略并非新颖，2020年的Ryuk勒索软件攻击和2025年8月下旬涉及一个较不知名的勒索软件家族Obscura的事件中都观察到了这种做法。

在Reynolds攻击活动中，勒索软件被设计为投放一个易受攻击的NsecSoft NSecKrnl驱动程序，并终止与Avast、CrowdStrike Falcon、Palo Alto Networks Cortex XDR、Sophos（以及HitmanPro.Alert）和Symantec Endpoint Protection等各种安全程序相关的进程。

值得注意的是，NSecKrnl驱动程序容易受到已知安全漏洞（CVE-2025-68947，CVSS评分：5.7）的攻击，该漏洞可被利用来终止任意进程。值得注意的是，该驱动程序已被名为Silver Fox的威胁行为者用于在交付ValleyRAT之前杀死端点安全工具的攻击中。

在过去的一年中，该黑客组织之前曾使用多个合法但存在缺陷的驱动程序——包括truesight.sys和amsdk.sys——作为BYOVD攻击的一部分来解除安全程序的武装。

通过将防御规避和勒索软件能力整合到一个组件中，这使得防御者更难阻止攻击，更不用说消除了关联方需要单独将此步骤纳入其作案手法的需要。

Symantec和Carbon Black表示："这次攻击活动中另一个值得注意的是，在勒索软件部署前几周，目标网络上出现了一个可疑的侧加载加载器。"

勒索软件部署后一天在目标网络上部署的另一个工具是GotoHTTP远程访问程序，表明攻击者可能希望保持对受感染主机的持续访问。

该公司表示："BYOVD因其有效性和对合法签名文件的依赖而受到攻击者的欢迎，这些文件不太可能引起警觉。"

"将防御规避能力与勒索软件有效载荷包装在一起的优势，以及勒索软件行为者可能这样做的原因，可能包括将防御规避二进制文件和勒索软件有效载荷打包在一起更加'安静'，没有单独的外部文件投放到受害者网络上。"

这一发现与最近几周各种勒索软件相关发展相吻合——

一个大规模钓鱼活动使用带有Windows快捷方式（LNK）附件的电子邮件来运行PowerShell代码，该代码获取Phorpiex投放器，然后用于交付GLOBAL GROUP勒索软件。该勒索软件的显著特点是在受感染系统上本地执行所有活动，使其与气隙环境兼容。它也不进行数据外泄。

WantToCry发起的攻击滥用了由ISPsystem（一个合法的虚拟基础设施管理提供商）配置的虚拟机（VM）来大规模托管和交付恶意有效载荷。一些主机名已在多个勒索软件操作者的基础设施中被识别，包括LockBit、Qilin、Conti、BlackCat和Ursnif，以及涉及NetSupport RAT、PureRAT、Lampion、Lumma Stealer和RedLine Stealer的各种恶意软件活动。

据评估，防弹托管提供商正在向其他犯罪行为者租赁ISPsystem虚拟机，用于勒索软件操作和恶意软件交付，这是通过利用VMmanager默认Windows模板中的设计弱点实现的，该弱点在每次部署时重复使用相同的静态主机名和系统标识符。这反过来允许威胁行为者设置数千个具有相同主机名的虚拟机，并使取缔工作复杂化。

DragonForce创建了一个"公司数据审计"服务，以在勒索活动期间支持关联方，这是勒索软件操作持续专业化的一部分。LevelBlue表示："审计包括详细的风险报告、准备好的沟通材料（如呼叫脚本和高管级别信函）以及旨在影响谈判的战略指导。"DragonForce作为一个卡特尔运作，允许关联方创建自己的品牌，同时在其保护伞下运营并获得其资源和服务的访问权限。

LockBit的最新版本LockBit 5.0被发现使用ChaCha20在Windows、Linux和ESXi环境中加密文件和数据，这是从LockBit 2.0和LockBit 3.0中基于AES的加密方法的转变。此外，新版本具有擦除组件、在加密前延迟执行的选项、使用进度条跟踪加密状态、改进的反分析技术以规避检测，以及增强的内存执行以最小化磁盘痕迹。

Interlock勒索软件团体继续对英国和美国的组织进行攻击，特别是教育部门，在一个案例中利用"GameDriverx64.sys"游戏反作弊驱动程序中的零日漏洞（CVE-2025-61155，CVSS评分：5.5）在BYOVD攻击中禁用安全工具。该攻击的特点还包括部署NodeSnake/Interlock RAT（又名CORNFLAKE）来窃取敏感数据，而初始访问据说源于MintLoader感染。

观察到勒索软件操作者越来越多地将焦点从传统的本地目标转向云存储服务，特别是Amazon Web Services（AWS）使用的配置错误的S3存储桶，这些攻击依靠原生云功能来删除或覆盖数据、暂停访问或提取敏感内容，同时保持在雷达之下。

根据Cyble的数据，GLOBAL GROUP是2025年涌现的众多勒索软件组织之一，其他还有Devman、DireWolf、NOVA、J group、Warlock、BEAST、Sinobi、NightSpire和The Gentlemen。仅在2025年第四季度，Sinobi的数据泄露网站列表就增加了306%，使其成为仅次于Qilin和Akira的第三活跃勒索软件团体，据ReliaQuest称。

研究员Gautham Ashok说："与此同时，LockBit 5.0的回归是第四季度最大的变化之一，由季度末的激增推动，该组织仅在12月就列出了110个组织。这一产出表明该组织能够快速扩展执行、将入侵转化为影响，并维持能够大规模运营的关联管道。"

新参与者的出现，加上现有团体之间建立的合作关系，导致了勒索软件活动的激增。勒索软件行为者在2025年总共声称进行了4,737次攻击，高于2024年的4,701次。不涉及加密而仅依靠数据盗窃作为施压手段的攻击数量在同一期间达到6,182次，比2024年增长23%。

至于平均勒索赎金，2025年第四季度的数字为591,988美元，比2025年第三季度增长57%，这是由少数"超额和解"推动的，Coveware在上周的季度报告中表示，威胁行为者可能会回到其"数据加密根源"，以获得更有效的杠杆从受害者那里勒索赎金。

Q&A

Q1：Reynolds勒索软件与其他勒索软件有什么不同？

A：Reynolds勒索软件的主要特点是在其有效载荷中内置了BYOVD组件，与传统的先部署独立工具再执行勒索软件不同，Reynolds将防御规避和勒索功能整合到一个组件中，使攻击更加隐蔽且难以防御。

Q2：BYOVD技术是如何工作的？

A：BYOVD是指"自带易受攻击驱动程序"技术，攻击者利用合法但存在安全缺陷的驱动程序软件来提升权限并禁用EDR等安全解决方案，由于使用的是合法签名文件，因此不容易被安全工具检测到。

Q3：2025年勒索软件攻击趋势如何？

A：2025年勒索软件攻击呈现增长趋势，攻击者声称进行了4,737次攻击，比2024年的4,701次有所增加。同时出现了多个新的勒索软件团体，平均勒索赎金在第四季度达到591,988美元，比第三季度增长57%。