Sicherheitsforscher haben eine besorgniserregende Variation in der Ransomware-Operation entdeckt: eine Familie namens Reynolds Reynolds, die direkt in ihre ausführbare eine Escape-Komponente auf Basis von gefährdeten Controllern integriert, die in der Branche Jargon als BYOVD bekannt ist (bringen Sie Ihren eigenen gefährdeten Fahrer). Anstatt ein separates Werkzeug zur Deaktivierung der Schutzlösungen einzusetzen, liefert und lädt die sehr binäre Ansomware einen legitimen, aber bekannten Treiber und nutzt sie, um Sicherheitsprozesse zu entfernen und Privilegien zu erhöhen.
BYOVD ist keine neue Erfindung, aber ihre Einbindung "alle in one" in die Bansomware Nutzlast erhöht das Risiko und erschwert die Erkennung. Die Technik, die unterschriebene Controller erforscht, aber mit Sicherheitslücken, um Prozesse abzuschließen oder Kontrollen abzusagen, wurde in mehreren vorherigen Vorfällen dokumentiert; zum Beispiel, Analyse von Angriffen mit Ryuk in 2020 und andere neuere Vorfälle zeigen, wie kriminelle Akteure Drittverantwortliche zur Deaktivierung von EDRs und Antiviren ( Fortinet)
Im Falle von Reynolds fällt die eingebettete Komponente einen NsecSoft-Treiber namens NSecKrnl - ein Modul mit einer öffentlichen Verwundbarkeit identifiziert als CVE-2025-68947- aus dieser Sicht ist es notwendig, Prozesse zu vervollständigen, die mit Produkten verbunden sind, die in Unternehmen weit verbreitet sind: von Avast und CrowdStrike Falcon bis zu Palo Alto Networks Cortex XDR, Sophos und Symantec, unter anderem. Forscher haben darauf hingewiesen, dass Akteure wie "Silver Fox" bereits ähnliche Fahrer in früheren Kampagnen genutzt hatten, um den Boden bei zusätzlichen Gebühren wie dem bekannten RAT ValleyRAT ( Hexastrike, Die Welt der Welt)
Die direkte Einbindung des gefährdeten Fahrers in die Ransomware macht den Angriff "silent" und reduziert die Notwendigkeit von Zwischenschritten durch einen Affiliate: Es gibt keine separate Datei, die zusätzliche Drucke im Netzwerk oder eine vorherige Bereitstellung, die Verteidiger erkennen können. Nach den Signaturen, die die Probe zusätzlich zum BYOVD selbst analysierten, hatte der von Reynolds gezeigte Angriff typische Anzeichen für eine organisierte Operation: die vorherige Anwesenheit eines Seitenladegeräts (Seitenladegerät) Wochen vor der Ransomware-Aktivierung und die anschließende Installation eines Fernzugriffswerkzeugs (GotoHTTP) nach der Korruption der Systeme, was darauf hindeutet, Zugang zu erhalten und Nachoperationsmanöver durchzuführen.
Dieses Muster ist Teil eines breiteren Trends: In den letzten Monaten und Jahren haben die Gruppen von Ransomware ihre Wertschöpfungsketten und diversifizierte Techniken professionalisiert. Einige Akteure haben "Services" und eigene Tools entwickelt, um Affiliate zu unterstützen, wie z.B. DragonForce's Erpressungsberichte und Skripte, während andere ihre technischen Fähigkeiten modernisiert haben - LockBit 5.0, zum Beispiel, ging weiter, um ChaCha20 zu verwenden und erweitert seine Multi-Plattform-Bereich, sowie mit Anti-Analyse-Techniken und Komponenten, die als Wischer fungieren ( Ebeneblau, Ebeneblau)
Parallel entwickeln sich die Liefervektoren weiter. Massive Phishing-Kampagnen, die direkten Zugriff (.LNK) nutzen, um PowerShell und Download-Droppers zu betreiben, haben dazu beigetragen, Familien wie GLOBAL GROUP zu verbreiten, die auch ohne externe Kommunikation arbeiten können und mit luftgespaltenen Umgebungen kompatibel ist ( Macht) Andere Betreiber haben schlecht konfigurierte Virtualisierungs-Infrastruktur missbraucht, um VMs-Skala bereitzustellen, die als Liefer-Hosts fungieren, indem sie Vorlagen mit statischen Kennungen nutzen, um die Minderung durch Verteidiger zu komplizieren ( Sophos, Seqrit)
Die jüngsten Zahlen bestätigen den Angriff: Die ständige Entstehung neuer Gruppen und die Zusammenarbeit zwischen traditionellen Bands haben auf Organisationen aller Größen Druck gehalten. Industrieberichte weisen darauf hin, dass die Datendiebstahlerziehungstätigkeit zugenommen hat und dass die durchschnittlichen Rettungszahlungen in bestimmten Quartalen gefeuert wurden, die von einigen "außergewöhnlichen" Verhandlungen geführt wurden, die den Durchschnitt verfälschen ( ReliaQuest, Coveware)
Angesichts dieses Szenarios benötigen konventionelle Abwehrkräfte Anpassungen. Controller sind ein kritischer Link: die undiskriminierende Installation von Drittanbieter-Treibern oder das Halten von virtuellen Maschinenvorlagen unkontrolliert öffnet einfach Vektoren auszunutzen. Bewahren Sie eine Freigabe-Treiberpolitik, wenden Sie Patches an, sobald sie verfügbar sind - vor allem für öffentlich verbreitete Fehler wie die oben genannte CVE - und überwachen Sie anomale Prozesse und Kernel-Lastverhalten bietet eine große Barriere. Empfehlungen von Agenturen wie CISA und Endpoints und Backups Härtungspraktiken bleiben grundsätzlich ( CISA)
Es ist auch wichtig, dass Sicherheitsteams frühzeitige Engagement-Signale überwachen: legitime binäre Side-loading, "silente" Treiber-Einsätze, Remote Access-Tools, die nach und nach der Verschlüsselungsaktivierung vorgeschaltet sind. Detection-Tools, die die Kernel-Telemetrie analysieren und Ereignisse im Netzwerk korrelieren, können Intrusionen entdecken, bevor der Schauspieler die destruktive Komponente des Angriffs startet.
Für Organisationen ist die praktische Empfehlung, die Vertrauenskette aller installierten Treiber zu überprüfen, Privilegien für die Installation von Treibern zu begrenzen, kritische Funktionen im Netzwerk zu segregaten und unwandelbare Backups offline zu halten. Das Verhindern der Ausführung von unerwarteten Binaries und das Vorsprechen virtueller Maschinenvorlagen sind Schritte, die heute genauso wie Patches und die Stärkung der Endpunkte wiegen.
Die Lektion, die Fälle wie Reynolds verlässt, ist klar: Angreifer hängen nicht nur von einer Technik ab; sie wollen Komponenten kombinieren, bis der Betrieb robust und leise ist. Die Verteidigung erfordert sowohl tiefgehende technische Kontrollen als auch organisatorische Prozesse, die die Angriffsfläche reduzieren und die Reaktion beschleunigen. In einem Panorama, in dem Methoden professionalisiert und verpackt werden, wird Widerstand vor dem Vorfall gebaut, nicht nur nachher.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...