详细内容或原文请订阅后点击阅览
Reynolds 勒索软件使用 BYOVD 在加密前禁用安全性
研究人员发现了 Reynolds 勒索软件,该勒索软件使用 BYOVD 技术来禁用安全工具并在加密前逃避检测。研究人员发现了一种名为 Reynolds 的新勒索软件,该软件实施自带易受攻击的驱动程序 (BYOVD) 技术,在加密系统之前禁用安全工具并逃避检测。博通的网络安全研究人员最初将此次攻击归咎于 Black Basta,原因是 [...]
来源:Security Affairs _恶意软件Reynolds 勒索软件使用 BYOVD 在加密前禁用安全性
研究人员发现了 Reynolds 勒索软件,该勒索软件使用 BYOVD 技术来禁用安全工具并在加密前逃避检测。
研究人员发现了一种名为 Reynolds 的新勒索软件,该软件实施自带易受攻击的驱动程序 (BYOVD) 技术,在加密系统之前禁用安全工具并逃避检测。
博通的网络安全研究人员最初将这次攻击归咎于 Black Basta,因为其策略类似,但进一步分析证实,有效负载是 Reynolds,一个新的勒索软件家族。该活动之所以引人注目,是因为它直接在勒索软件中嵌入了自带漏洞驱动程序 (BYOVD) 组件。 Reynolds 没有部署单独的工具来禁用安全软件,而是将易受攻击的 NsecSoft 驱动程序捆绑在其有效负载中以逃避检测。
自带易受攻击的驱动程序 (BYOVD) 是一种攻击技术,威胁行为者使用合法但有缺陷的驱动程序来绕过安全控制。
攻击者没有利用新的漏洞,而是安装了包含已知安全缺陷的经过签名的可信驱动程序。由于该驱动程序经过合法签名,因此 Windows 允许其加载。一旦运行,攻击者就会利用驱动程序的弱点来:
Reynolds 勒索软件会释放易受攻击的 NsecKrnl 驱动程序并创建一个服务来运行它。然后,它滥用驱动程序缺陷 (CVE-2025-68947) 来终止与主要防御解决方案相关的安全进程,包括 Sophos、Symantec、Microsoft Defender、CrowdStrike、ESET 和 Avast 工具。
恶意软件加密文件并添加“.locked”扩展名。调查人员还在几周前发现了一个可疑的侧载加载程序,并在攻击后发现了 GotoHTTP 远程访问工具,这表明攻击者可能在部署勒索软件之前甚至之后都保持了访问权限。
皮尔路易吉·帕格尼尼