Cybersecurity-Forscher haben eine neue Familie von Ransomware namens Reynolds identifiziert, die eine gefährliche Variante einer bereits bekannten Taktik einführt: die sogenannte "bringen Sie Ihren eigenen gefährdeten Fahrer" oder BYOVD. Im Wesentlichen ist BYOVD berechtigte, aber gescheiterte Controller nutzen, um hohe Privilegien zu erhalten und die Erkennungs- und Antwortlösungen in Endpunkten aus dem Kampf zu lassen, so dass die Infektion ohne erkannt zu werden vorangekommen ist. Um diesen Mechanismus weiterzuentwickeln, kann eine detaillierte Analyse auf dem Blog von Halcyon.
Was den Reynolds Fall einzigartig macht, ist, dass die verletzliche Komponente nicht als separates Kit vor der Lieferung der Verschlüsselung eingesetzt wird, sondern innerhalb der ausführbaren der ansomware selbst verpackt ist. Laut dem Symantec- und Carbon Black-Drohhunter-Team hat die Kampagne einen NsecSoft-Treiber namens NSecKrnl eingerichtet, um eine Schwachstelle auszunutzen, die willkürliche Prozesse absolvieren lässt, und wird von bekannten Herstellern angehalten. Der Bericht mit The Hacker News geteilt und zusammengefasst von Sicherheit.com.
Die Verpackungssteuerung bezieht sich auf einen bekannten als CVE-2025-68947 deren Verwendung die Schließung von Prozessen erleichtert. Dies ist nicht das erste Mal, dass böswillige Akteure die Vorteile von Fahrern mit legitimer Unterschrift, sondern mit Fehlern: vorherige Untersuchungen dokumentieren, wie Bedrohungen wie Silver Fox genau diesen Controller verwendet haben, um Lösungen zu neutralisieren und Lasten wie TalRAT, und es gibt eine Geschichte der BYOVD Verwendung in Ransomware-Kampagnen seit früheren Jahren. Eine Analyse der Verwendung dieser Art von Fahrern von Schauspielern wie Silver Fox finden Sie bei Hexastrike.
In der detaillierten Kampagne fielen die Angreifer nicht nur den anfälligen Fahrer, sondern der Code suchte aktiv nach und beendete Prozesse mit Schutzlösungen wie Avast, CrowdStrike Falcon, Palo Alto Networks Cortex XDR, Sophos (und HitmanPro.Alert) und Symantec Endpoint Protection. Diese selektive Schließung der Verteidigungen erleichtert die Chiffre, ihre Aufgabe ohne Hindernisse abzuschließen.
Sicherheitszeichen und Lieferanten haben Abweichungen in dieser Kombination von Evasion und Ransomware vorher beobachtet. Zum Beispiel haben Broadcom und andere Forscherteams vergangene Kampagnen identifiziert, bei denen die Evasion von verletzlichen Controllern in Ransomware-Operationen integriert wurde - ein bemerkenswerter Hintergrund war ein Fall mit der Ryuk Familie im Jahr 2020 - und jüngste Vorfälle mit weniger bekannten Familien wurden berichtet, dass wiederholen Sie das Muster. Eine Überprüfung des Wiederauftauchens ähnlicher Techniken in Ryuk ist auf dem Blog von Fortinet.
Ein weiteres Element, das die Aufmerksamkeit der Forscher auf sich zog, war die Existenz früherer Aktivitäten auf dem kompromittierten Netzwerk: Wochen vor Reynolds detonierte die Chiffre ein verdächtiges Side-Ladegerät (side-loaded Loader) erschien, und ein Tag nach der Bereitstellung der Ransomware wurde die Installation des Remote Access Program GotoHTTP erkannt. Dies deutet auf ein typisches Muster der Intrusion in mehreren Phasen hin, mit der Exploration, der Errichtung der Persistenz und schließlich der Detonation der Ansomware.
Aus der Sicht des Angreifers hat die Verpackung der Entweichungskapazität zusammen mit der Ransomware selbst offensichtliche Vorteile: es reduziert die Notwendigkeit, zusätzliche Binäre herunterladen oder ausführen, die Alarme erzeugen können, und macht das Ganze "silent" aus der Sicht der Erkennung. Für Verteidiger erschwert diese Integration die Rückverfolgbarkeit und zwingt Sie, über das ausführbare der Chiffre hinaus zu schauen, um die vollständige Nutzlast zu erkennen.
Reynolds' Entdeckung kommt zu einer Zeit, in der das Panorama der Ransomware fragmentiert und gleichzeitig professionalisiert wird. In den letzten Wochen wurden hochvolumige Kampagnen, die die klassischen Shortcuts nutzen, dokumentiert, wie Massentransporte von Phishing mit LNK-Direktzugängen, die PowerShell betreiben, um einen Dropper (Route gefolgt von der GLOBAL GROUP-Familie) zu senken, wie die Analysten von Macht. Solche Tröpfchen können sogar in isolierten Umgebungen des Netzes betrieben werden, indem alle Aktionen in der lokalen Maschine durchgeführt werden.
Andere kürzliche Missbräuche zeigen auf schlecht konfigurierte virtuelle Infrastruktur. Die Familie WantToCry hat die Standardvorlagen des ISPsystems VMmanager genutzt, um tausende virtuelle Maschinen mit statischen Namen und Kennungen zu erstellen, wodurch es ihnen einfacher wird, durch skrupelloses "Hosting" zu mieten und die Sperrmaßnahmen der Behörden zu komplizieren. Untersuchungen wie Sophos zeigen, wie eine Versorgungsschwäche von schädlichen Akteuren auf einer Skala ausgenutzt werden kann.
Parallel voranschreiten einige Ransomware-Bands bei der Professionalisierung ihres "affiliate Service". Ein Beispiel ist DragonForce, die ein Paket von Unterstützung für Erpressungsoperationen - einschließlich Datenaudits, Kommunikationsmaterial und Handelsskripte - nach der Analyse von Ebeneblau. LockBit hat sich für seinen Teil auf komplexere Versionen entwickelt, mit LockBit 5.0 mit ChaCha20 mehrere Plattformen (Windows, Linux und ESXi) zu verschlüsseln, mit Wischer, Ausführungsverzögerungen und Anti-Analyse-Techniken, wie von LevelBlue-Forschern in mehreren Berichten beschrieben ( Einführung in LockBit 5.0 und ergänzende Teile ihrer Ziele in Windows, Linux und ESXi)
BYOVD-Taktiken wurden auch mit anderen anfälligen Controllern ausgenutzt: Die Interlock-Gruppe hat zum Beispiel einen Bug im Anti-Cheat-Treiber GameDriverx64.sys verwendet ( CVE-2025-61155) die Verteidigung zu deaktivieren und Remote Access Malware wie NodeSnake / Interlock RAT, in Vorfällen, wo die anfängliche Intrusion mit einem Ladegerät namens MintLoader verbunden war, wie Fortinet in seiner Forschung über die Gruppe ( Interlock-Analyse)
Eine weitere relevante Änderung ist die Verschiebung von einigen traditionellen Fokus-Operatoren in lokale Server auf Cloud-Ziele: schlecht konfigurierte Eimer in AWS S3 und andere Dienste haben wertvolle Ziele für Datendiebstahl und Sabotage. Forschung der Industrie, einschließlich der Arbeit von Trend Micro, zeigen, wie Schauspieler native Cloud-Eigenschaften nutzen, um Informationen zu löschen, zu verschlüsseln oder zu filtern, ohne so viel Aufmerksamkeit.
Die Verbreitung neuer Gruppen im Jahr 2025 (gemäß Zyklon) und die Zunahme der Aktivität bekannter Bänder hat das Volumen von Vorfällen erhöht. Überwachungsberichte wie ReliaQuest Daten-Leckspitzen anzeigen und an Filtrationsstellen aufgeführt; parallel die Daten zur Reaktion auf Vorfälle von Coveware spiegeln, dass die durchschnittliche Rettungszahlung im vierten Quartal 2025 durch einige große Vereinbarungen ausgelöst wurde.
Welche praktischen Lehren lässt diese Welle? Vor allem, Grundsicherheitshygiene tritt als Priorität wieder auf: Patching-Controller und -Systeme, Einschränkung der Installation von unbefugten signierten Fahrern und Überwachung von Seitenlasten und ungewöhnlichen Prozessen. EDR-Lösungen sollten die Überwachung des Kernels stärken und sich nicht ausschließlich auf die Unterschrift eines Fahrers verlassen, um ihn als gutartig zu betrachten. Andererseits sollten Organisationen, die mit Cloud-Ressourcen umgehen, Speicherberechtigungen und Konfigurationen prüfen und Kontrollen anwenden, um wiederverwendbare Vorlagen oder Bilder von Massenmissbrauch zu verhindern.
Die Konvergenz von Techniken - von BYOVD verpackt zu der Verwendung von schlecht konfigurierten virtuellen Hosts und "affiliate" Dienstleistungen, die die Erpressung professionalisieren - malt ein Bild, in dem Angreifer versuchen, die operative Reibung zu reduzieren und die Auswirkungen durch Eindringen zu erhöhen. Das Ergebnis ist eine anspruchsvollere und widerstandsfähigere Bedrohung, die nicht nur Werkzeuge, sondern strengere Governance-Prozesse und Kontrollen erfordert..
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...