IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Reynolds ransomware integruje BYOVD ovladač pro deaktivaci bezpečnostních nástrojů EDR

Reynolds ransomware integruje BYOVD ovladač pro deaktivaci bezpečnostních nástrojů EDR

Výzkumníci v oblasti kybernetické bezpečnosti odhalili podrobnosti o nově se objevující rodině ransomwaru s názvem Reynolds, která přichází s vestavěnou komponentou typu „bring your own vulnerable driver“ (BYOVD) pro účely obcházení obrany přímo v samotném ransomwarovém payloadu.

BYOVD označuje techniku útočníků, která zneužívá legitimní, ale chybný ovladačový software k eskalaci oprávnění a deaktivaci řešení pro detekci a reakci na koncových bodech (EDR), aby škodlivé aktivity zůstaly nepovšimnuty. Tuto strategii v průběhu let přijalo mnoho ransomwarových skupin.

„Normálně by komponenta BYOVD pro obcházení obrany zahrnovala samostatný nástroj, který by byl nasazen do systému před ransomwarovým payloadem za účelem deaktivace bezpečnostního softwaru,“ uvedl tým Symantec a Carbon Black Threat Hunter Team ve zprávě sdílené s The Hacker News. „V tomto útoku však byl zranitelný ovladač (ovladač NsecSoft NSecKrnl) zabalen přímo s ransomwarem.“

Kybernetické týmy společnosti Broadcom poznamenaly, že tato taktika zabalení komponenty pro obcházení obrany do ransomwarového payloadu není nová a byla pozorována při útoku ransomwaru Ryuk v roce 2020 a při incidentu zahrnujícím méně známou ransomwarovou rodinu nazvanou Obscura koncem srpna 2025.

V kampani Reynolds je ransomware navržen tak, aby uvolnil zranitelný ovladač NsecSoft NSecKrnl a ukončil procesy spojené s různými bezpečnostními programy od společností Avast, CrowdStrike Falcon, Palo Alto Networks Cortex XDR, Sophos (spolu s HitmanPro.Alert) a Symantec Endpoint Protection, mimo jiné.

Stojí za zmínku, že ovladač NSecKrnl je náchylný ke známé bezpečnostní chybě (CVE-2025-68947, CVSS skóre: 5,7), která by mohla být zneužita k ukončení libovolných procesů. Tento ovladač byl využit aktérem hrozeb známým jako Silver Fox při útocích navržených k ukončení nástrojů pro zabezpečení koncových bodů před doručením ValleyRAT. V průběhu minulého roku hackerská skupina dříve používala několik legitimních, ale chybných ovladačů – včetně truesight.sys a amsdk.sys – jako součást útoků BYOVD k odzbrojení bezpečnostních programů.

Dalším nástrojem nasazeným v cílové síti den po nasazení ransomwaru byl program pro vzdálený přístup GotoHTTP, což naznačuje, že útočníci mohou usilovat o udržení trvalého přístupu ke kompromitovaným hostitelům.

Zdroj: thehackernews.com