Los investigadores en ciberseguridad han identificado una nueva familia de ransomware llamada Reynolds que introduce una variante peligrosa de una táctica ya conocida: el llamado "bring your own vulnerable driver" o BYOVD. En esencia, BYOVD consiste en aprovechar controladores legítimos pero con fallos para conseguir privilegios elevadas y dejar fuera de combate a las soluciones de detección y respuesta en endpoints, de modo que la infección avanzara sin ser detectada. Para profundizar en este mecanismo, puede consultarse un análisis detallado en el blog de Halcyon.
Lo que hace singular al caso Reynolds es que el componente vulnerable no se despliega como un kit aparte antes de la entrega del cifrador, sino que viene empaquetado dentro del propio ejecutable del ransomware. Según el equipo de cazadores de amenazas de Symantec y Carbon Black, en la campaña se instala un driver de NsecSoft denominado NSecKrnl para explotar una vulnerabilidad que permite terminar procesos arbitrarios, y a continuación se procede a detener servicios y procesos de seguridad de fabricantes conocidos. Puede leerse el informe compartido con The Hacker News y resumido por Security.com.
El controlador empaquetado está relacionado con una falla conocida catalogada como CVE-2025-68947, cuyo aprovechamiento facilita el cierre de procesos. No es la primera vez que actores maliciosos sacan partido de drivers con firma legítima pero con errores: investigaciones previas documentan cómo amenazas como Silver Fox han empleado exactamente ese controlador para neutralizar soluciones y desplegar cargas como ValleyRAT, y hay antecedentes de uso de BYOVD en campañas de ransomware desde años anteriores. Un análisis del uso de este tipo de driver por parte de actores como Silver Fox puede consultarse en Hexastrike.
En la campaña detallada, los atacantes no solo dejaban caer el driver vulnerable, sino que el código buscaba activamente y terminaba procesos asociados a soluciones de protección como Avast, CrowdStrike Falcon, Palo Alto Networks Cortex XDR, Sophos (y HitmanPro.Alert), y Symantec Endpoint Protection, entre otras. Ese cierre selectivo de defensas facilita que el cifrador complete su tarea sin obstáculos.
Firmas de seguridad y proveedores han observado variaciones de esta combinación de evasión y ransomware con anterioridad. Por ejemplo, Broadcom y otros equipos de investigación han señalado campañas pasadas donde la evasión por controladores vulnerables se integró en operaciones de ransomware —un antecedente notable fue un caso con la familia Ryuk en 2020— y se han reportado incidentes recientes con familias menos conocidas que repiten el patrón. Un repaso a la reaparición de técnicas similares en Ryuk está disponible en el blog de Fortinet.
Otro elemento que llamó la atención de los investigadores fue la existencia de actividad previa en la red comprometida: semanas antes de que Reynolds detone el cifrador apareció un cargador lateral (side-loaded loader) sospechoso, y un día después del despliegue del ransomware se detectó la instalación del programa de acceso remoto GotoHTTP. Esto sugiere un patrón típico de intrusión en varias fases, con exploración, establecimiento de persistencia y, finalmente, la detonación del ransomware.
Desde la perspectiva del atacante, empaquetar la capacidad de evasión junto con el propio ransomware tiene ventajas evidentes: reduce la necesidad de descargar o ejecutar binarios adicionales que puedan generar alertas, y hace que el conjunto sea más “silencioso” desde el punto de vista de la detección. Para los defensores, esta integración complica la trazabilidad y obliga a mirar más allá del ejecutable del cifrador para detectar la carga útil completa.
El hallazgo de Reynolds llega en un momento en que el panorama del ransomware se muestra fragmentado y a la vez profesionalizado. En las últimas semanas se han documentado campañas de alto volumen que aprovechan atajos clásicos, como envíos masivos de phishing con accesos directos LNK que ejecutan PowerShell para bajar un dropper (ruta seguida por la familia GLOBAL GROUP), tal como detallan los analistas de Forcepoint. Ese tipo de droppers pueden incluso operar en entornos aislados de la red al realizar todas las acciones en la máquina local.
Otros abusos recientes apuntan a infraestructuras virtuales mal configuradas. La familia WantToCry ha aprovechado plantillas por defecto de VMmanager de ISPsystem para crear miles de máquinas virtuales con nombres y identificadores estáticos, lo que facilita su alquiler por "hosting" poco escrupuloso y complica las acciones de bloqueo por parte de las autoridades. Investigaciones como la de Sophos muestran cómo una debilidad de provisión puede ser explotada a escala por actores maliciosos.
Paralelamente, algunas bandas de ransomware avanzan en la profesionalización de su “servicio al afiliado”. Un ejemplo es DragonForce, que ofrece un paquete de apoyo a operaciones de extorsión —incluyendo auditorías de datos, material comunicacional y guiones para negociar— según el análisis de LevelBlue. Por su parte, LockBit ha evolucionado hacia versiones más complejas, con LockBit 5.0 utilizando ChaCha20 para cifrar múltiples plataformas (Windows, Linux y ESXi), incorporando capacidades de borrado (wiper), retrasos en la ejecución y técnicas anti-análisis, como describen los investigadores de LevelBlue en varios informes (introducción a LockBit 5.0 y piezas complementarias sobre sus objetivos en Windows, Linux y ESXi).
Las tácticas de BYOVD también han sido explotadas con otros controladores vulnerables: el grupo Interlock, por ejemplo, ha utilizado una falla en el driver de anti‑cheat GameDriverx64.sys (CVE-2025-61155) para desactivar defensas y desplegar malware de acceso remoto como NodeSnake/Interlock RAT, en incidentes donde la intrusión inicial se vinculó a un cargador denominado MintLoader, según reporta Fortinet en su investigación sobre el grupo (análisis Interlock).
Otro cambio relevante es el giro de algunos operadores del foco tradicional en servidores locales hacia objetivos en la nube: buckets mal configurados en AWS S3 y otros servicios se han convertido en blancos valiosos para robo y sabotaje de datos. Investigaciones de la industria, incluyendo trabajo de Trend Micro, muestran cómo actores explotan características nativas de la nube para borrar, cifrar o exfiltrar información sin llamar tanto la atención.
La proliferación de grupos nuevos en 2025 (según listados de Cyble) y el aumento en la actividad de bandas ya conocidas han elevado el volumen de incidentes. Informes de monitoreo como el de ReliaQuest muestran picos de fugas de datos y listados en sitios de filtración; en paralelo, los datos de respuesta a incidentes de Coveware reflejan que el pago medio por rescate en el cuarto trimestre de 2025 se disparó influido por unos pocos acuerdos de gran cuantía.
¿Qué lecciones prácticas deja esta oleada? En primer lugar, la higiene de seguridad básica vuelve a aparecer como prioridad: parchear controladores y sistemas, restringir la instalación de drivers firmados que no estén autorizados y monitorizar cargas laterales y procesos inusuales. Las soluciones EDR deben reforzar la supervisión del kernel y no fiarse únicamente de la firma de un driver para considerarlo benigno. Por otro lado, las organizaciones que manejan recursos en la nube deben auditar permisos y configuraciones de almacenamiento, y aplicar controles para evitar que plantillas o imágenes reutilizables faciliten el abuso masivo.
La convergencia de técnicas —desde BYOVD empaquetado hasta el uso de hosts virtuales mal configurados y servicios “para afiliados” que profesionalizan la extorsión— pinta un panorama en el que los atacantes buscan reducir las fricciones operativas y elevar el impacto por intrusión. El resultado es una amenaza más sofisticada y resiliente, que exige no solo herramientas, sino procesos y controles de gobernanza más estrictos.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...