Ransomware Reynolds Incorpora Driver BYOVD para Desativar Ferramentas de Segurança EDR

O ransomware Reynolds agora incorpora um driver vulnerável NsecSoft NSecKrnl (CVE-2025-68947, CVSS 5.7) diretamente em seu payload. Essa tática de Bring Your Own Vulnerable Driver (BYOVD) permite desativar processos de ferramentas EDR de fornecedores como CrowdStrike, Sophos, Symantec, Palo Alto Cortex XDR e Avast antes da criptografia de arquivos, eliminando a necessidade de uma etapa de implantação BYOVD separada. Pesquisadores da Symantec e Carbon Black observaram um loader side-loaded suspeito na rede alvo semanas antes da execução do ransomware, seguido pela implantação da ferramenta de acesso remoto GotoHTTP para acesso persistente.

O cenário do ransomware também mostra outras evoluções notáveis, incluindo a mudança do LockBit 5.0 para criptografia ChaCha20 com recursos de wiper, o uso por parte do Interlock de um zero-day em driver de jogos (CVE-2025-61155) para ataques BYOVD, e o aumento de atores de ransomware visando buckets AWS S3 mal configurados. ️