Los investigadores de ciberseguridad han revelado detalles sobre una familia de ransomware emergente llamada Reynolds. Esta familia incluye un componente Bring Your Own Vulnerable Driver (BYOVD) en la carga útil del ransomware para evadir las defensas.
BYOVD se refiere a una técnica adversa que explota el software controlador legítimo pero defectuoso para escalar privilegios y deshabilitar las soluciones de detección y respuesta de endpoints (EDR), permitiendo que la actividad maliciosa pase desapercibida. Esta estrategia ha sido adoptada por muchos grupos de ransomware a lo largo de los años.
«El componente de evasión de defensa BYOVD de un ataque normalmente implica otra herramienta implementada en el sistema antes de la carga útil del ransomware para desactivar el software de seguridad», dijeron Symantec y el equipo Carbon Black Threat Hunter en un informe compartido con The Hacker News. «Sin embargo, en este ataque, se incluyó un controlador vulnerable (controlador NsecSoft NSecKrnl) con el propio ransomware».
El equipo de ciberseguridad de Broadcom señaló que esta táctica de agrupar componentes de evasión defensiva dentro de cargas útiles de ransomware no es nueva y también se observó en el ataque de ransomware Ryuk de 2020 y a finales de agosto de 2025 en un incidente que involucró a una familia de ransomware menos conocida llamada Obscura.
En la campaña de Reynolds, el ransomware está diseñado para eliminar controladores NsecSoft NSecKrnl vulnerables y finalizar procesos asociados con varios programas de seguridad, incluidos Avast, CrowdStrike Falcon, Palo Alto Networks Cortex XDR, Sophos (junto con HitmanPro.Alert) y Symantec Endpoint Protection.
Tenga en cuenta que el controlador NSecKrnl es susceptible a una falla de seguridad conocida (CVE-2025-68947, puntuación CVSS: 5.7) que puede explotarse para finalizar procesos arbitrarios. Específicamente, este controlador ha sido utilizado por un atacante conocido como Silver Fox en ataques destinados a subvertir las herramientas de seguridad de los terminales antes de la entrega de ValleyRAT.
Durante el año pasado, el grupo de hackers explotó múltiples controladores legítimos pero defectuosos, incluidos truesight.sys y amsdk.sys, como parte de ataques BYOVD para desarmar programas de seguridad.
La combinación de la funcionalidad de evasión de defensa y ransomware en un solo componente dificulta que los defensores frustren los ataques, sin mencionar que elimina la necesidad de que los afiliados incorporen este paso por separado en sus esquemas.
Symantec y Carbon Black dijeron: «Un aspecto notable de esta campaña de ataque es la presencia de un cargador sospechoso en la red objetivo varias semanas antes de que se implementara el ransomware». «Lo notable de esta campaña de ataque fue la presencia de un cargador de descarga sospechoso en la red objetivo varias semanas antes de que se implementara el ransomware».
Otra herramienta implementada en la red objetivo el día después de la implementación del ransomware fue el programa de acceso remoto GotoHTTP, lo que indica que los atacantes pueden estar intentando mantener el acceso permanente a los hosts comprometidos.
«BYOVD es popular entre los atacantes debido a su efectividad y dependencia de archivos firmados legítimamente, que es menos probable que generen señales de alerta», dijo la compañía.
«Los beneficios de incluir la funcionalidad de evasión de defensa en una carga útil de ransomware y las razones por las que los atacantes de ransomware lo hacen pueden incluir el hecho de que empaquetar los archivos binarios de evasión de defensa y las cargas útiles de ransomware juntos es «más silencioso» sin colocar archivos externos separados en la red de la víctima».
Este descubrimiento es consistente con varios desarrollos relacionados con ransomware en las últimas semanas.
Una campaña de phishing a gran escala utilizó un correo electrónico con un acceso directo de Windows (LNK) adjunto para ejecutar el código de PowerShell que recuperaba el dropper Phorpiex, que luego se utilizó para entregar el ransomware GLOBAL GROUP. Este ransomware se destaca por realizar todas las actividades localmente en el sistema comprometido, lo que lo hace compatible con entornos aislados. Además, no filtramos datos. El ataque lanzado por WantToCry aprovecha las máquinas virtuales (VM) proporcionadas por ISPsystem, un proveedor legítimo de gestión de infraestructura virtual, para alojar cargas maliciosas y entregarlas a escala. Algunos de los nombres de host se han identificado dentro de la infraestructura de múltiples operadores de ransomware, incluidos LockBit, Qilin, Conti, BlackCat y Ursnif, así como en varias campañas de malware que involucran a NetSupport RAT, PureRAT, Lampion, Lumma Stealer y RedLine Stealer. A los proveedores de hosting a prueba de balas se les atribuye el arrendamiento de máquinas virtuales ISPsystem a otros delincuentes para su uso en operaciones de ransomware y distribución de malware al explotar las debilidades de diseño en las plantillas predeterminadas de Windows de VMmanager, que reutilizan el mismo nombre de host estático e identificador del sistema cada vez que se implementa. Esto podría permitir a un atacante configurar miles de máquinas virtuales con el mismo nombre de host, lo que complicaría los esfuerzos de eliminación. Como parte de nuestra continua profesionalización de las operaciones de ransomware, DragonForce ha creado un servicio de «Auditoría de datos empresariales» para ayudar a los afiliados durante las campañas de extorsión. «La auditoría incluirá un informe de riesgo detallado, materiales de comunicación preparados, como guiones de llamadas y cartas a nivel ejecutivo, y orientación estratégica destinada a influir en las negociaciones», dijo Level Blue. DragonForce opera como un cartel que permite a los afiliados crear sus propias marcas mientras operan bajo su paraguas y acceden a sus recursos y servicios. La última versión de LockBit, LockBit 5.0, utiliza ChaCha20 para cifrar archivos y datos en entornos Windows, Linux y ESXi. Esta es una transición del enfoque de cifrado basado en AES de LockBit 2.0 y LockBit 3.0. Además, la nueva versión presenta un componente de limpieza, una opción para retrasar la ejecución previa al cifrado, seguimiento del estado del cifrado mediante una barra de progreso, técnicas antianálisis mejoradas para evitar la detección y ejecución mejorada en memoria para minimizar los rastros del disco. El grupo de ransomware Interlock continúa atacando a organizaciones con sede en el Reino Unido y EE. UU., particularmente en el sector educativo, y en un caso aprovechó una vulnerabilidad de día cero (CVE-2025-61155, puntuación CVSS: 5,5) en el controlador antitrampas de juegos GameDriverx64.sys para desactivar las herramientas de seguridad en un ataque BYOVD. El ataque también incluyó el despliegue de NodeSnake/Interlock RAT (también conocido como CORNFLAKE) para robar datos confidenciales, y se dice que el acceso inicial provino de una infección MintLoader. Se observa cada vez más que los operadores de ransomware cambian su enfoque de los objetivos locales tradicionales a depósitos S3 mal configurados utilizados por los servicios de almacenamiento en la nube, particularmente Amazon Web Services (AWS), con ataques que aprovechan las capacidades nativas de la nube para eliminar o sobrescribir datos, suspender el acceso y extraer contenido confidencial sin ser detectados.
Según los datos de Cyble, GLOBAL GROUP es uno de los muchos equipos de ransomware que surgirán en 2025, otros incluyen Devman, DireWolf, NOVA, J group, Warlock, BEAST, Sinobi, NightSpire y The Gentlemen. Según ReliaQuest, solo en el cuarto trimestre de 2025, el número de listados de sitios de violación de datos de Sinobi aumentó en un 306%, lo que lo convierte en el tercer grupo de ransomware más activo después de Qilin y Akira.
«Mientras tanto, el regreso de LockBit 5.0 fue uno de los mayores cambios en el cuarto trimestre, provocado por un aumento a finales del trimestre cuando el grupo enumeró 110 organizaciones sólo en diciembre», dijo el investigador Gowtham Ashok. «Este resultado demuestra un grupo que puede escalar rápidamente la ejecución, convertir las intrusiones en impacto y mantener una cartera de afiliados que puede operar a un gran volumen».
La aparición de nuevos actores, combinada con asociaciones forjadas entre grupos existentes, ha provocado un aumento en la actividad de ransomware. Los atacantes de ransomware reivindicaron un total de 4.737 ataques en 2025, frente a 4.701 en 2024. El número de ataques que no implican cifrado y se basan exclusivamente en el robo de datos como medio de ejercer presión alcanzó los 6.182 ataques durante el mismo período, un aumento del 23 % con respecto a 2024.
En cuanto al pago de rescate promedio, esa cantidad fue de $591,988 en el cuarto trimestre de 2025, un aumento del 57% con respecto al tercer trimestre de 2025 debido a una pequeña cantidad de «acuerdos de gran tamaño», dijo Coveware en su informe trimestral de la semana pasada, y agregó que los atacantes pueden volver a sus «raíces en el cifrado de datos» en busca de un apalancamiento más efectivo para extraer el dinero del rescate de las víctimas.
Source link
