Les chercheurs en sécurité ont découvert une variation inquiétante dans l'opération Ransomware : une famille appelée Reynolds Reynolds, qui intègre directement dans son exécutable un composant d'échappement basé sur des contrôleurs vulnérables, qui est connu dans le jargon de l'industrie comme BYOVD (apporter votre propre conducteur vulnérable). Au lieu de déployer un outil séparé pour désactiver les solutions de protection, le très binaire de l'ansomware délivre et charge un pilote légitime mais bien connu, et l'utilise pour supprimer les processus de sécurité et augmenter les privilèges.
BYOVD n'est pas une invention nouvelle, mais son inclusion "tout en un" dans la charge utile bansomware augmente le risque et complique la détection. La technique, qui explore les contrôleurs signés mais présentant des vulnérabilités pour terminer les processus ou annuler les contrôles, a été documentée dans plusieurs incidents précédents; par exemple, l'analyse des attaques impliquant Ryuk en 2020 et d'autres incidents plus récents montre comment les acteurs criminels ont eu des contrôleurs tiers pour désactiver les DRE et les antivirus ( Fortinet).
Dans le cas de Reynolds, le composant intégré dépose un pilote NsecSoft appelé NSecKrnl - un module avec une vulnérabilité publique identifiée comme CVE-2025-68947- de ce point de vue, il est nécessaire de compléter les processus associés aux produits largement déployés dans les entreprises: d'Avast et CrowdStrike Falcon à Palo Alto Networks Cortex XDR, Sophos et Symantec, entre autres. Des chercheurs ont souligné que des acteurs tels que "Silver Fox" avaient déjà profité de pilotes similaires lors de campagnes précédentes pour préparer le terrain à des frais supplémentaires tels que le célèbre RAT ValleyRAT ( Hexastrike, Cyberason).
L'incorporation directe du pilote vulnérable dans le Ransomware rend l'attaque plus « silencieuse » et réduit le besoin d'étapes intermédiaires par une filiale : il n'y a pas de fichier séparé qui laisse des impressions supplémentaires sur le réseau ou un déploiement préalable que les défenseurs peuvent détecter. Selon les signatures qui ont analysé l'échantillon, en plus du BYOVD lui-même, l'attaque montrée par Reynolds avait des signes typiques d'opération organisée: la présence préalable d'un chargeur latéral (chargeur latéral) semaines avant l'activation de Ransomware, et l'installation ultérieure d'un outil d'accès à distance (GotoHTTP) suite à la corruption des systèmes, suggérant l'intention de maintenir l'accès et effectuer des manœuvres post-opérationnelles.
Cette tendance s'inscrit dans une tendance plus large : ces derniers mois et ces dernières années, les groupes de ransomware ont professionnalisé leurs chaînes de valeur et leurs techniques diversifiées. Certains acteurs ont développé des « services » et des outils propres pour soutenir les affiliés, tels que les rapports d'extorsion et les scripts de DragonForce, tandis que d'autres ont modernisé leurs capacités techniques - LockBit 5.0, par exemple, a continué à utiliser ChaCha20 et élargi sa gamme multiplateforme, ainsi que l'intégration de techniques anti-analyse et de composants qui agissent comme essuie-glaces ( Niveau Bleu, Niveau Bleu).
Parallèlement, les vecteurs de livraison continuent d'évoluer. Des campagnes massives d'hameçonnage qui utilisent l'accès direct (.LNK) pour exécuter PowerShell et télécharger des gouttes ont servi à diffuser des familles comme GLOBAL GROUP, qui peuvent même fonctionner sans compter sur des communications externes et est compatible avec des environnements à vide d'air ( Point de force). D'autres opérateurs ont abusé de l'infrastructure de virtualisation mal configurée pour se déployer à l'échelle des VM qui agissent comme hôtes de livraison, en profitant de modèles avec des identifiants statiques pour compliquer l'atténuation par les défenseurs ( Sophos, Séqrite).
Des chiffres récents confirment l'attaque : l'émergence constante de nouveaux groupes et la collaboration entre bandes traditionnelles ont maintenu la pression sur les organisations de toutes tailles. Les rapports de l'industrie indiquent que l'activité d'extorsion de données a augmenté et que la moyenne des paiements de sauvetage a été virée dans certains quartiers, en raison de quelques négociations «exceptionnelles» qui faussent la moyenne ( ReliaQuest, Coveware).
Face à ce scénario, les défenses conventionnelles nécessitent des ajustements. Les contrôleurs sont un lien critique : permettre l'installation sans discrimination de pilotes tiers ou garder les modèles de machine virtuelle non vérifiés ouvre facile à exploiter les vecteurs. Maintenir une politique de conducteur habilitante, appliquer des correctifs dès qu'ils sont disponibles - en particulier pour les défaillances diffusées publiquement telles que le CVE susmentionné - et surveiller les processus anormales et le comportement des charges du noyau fournit une barrière majeure. Les recommandations d'organismes tels que la CISA et les critères d'évaluation et de sauvegarde des pratiques de durcissement demeurent fondamentales ( CISA).
Il est également important que les équipes de sécurité surveillent les signaux d'engagement précoce : chargement binaire légitime, déploiements de pilotes « silencieux », outils d'accès à distance installés après et des mouvements latéraux qui précèdent l'activation du chiffrement. Les outils de détection qui analysent la télémétrie du noyau et les événements de corrélation dans le réseau peuvent découvrir des intrusions avant que l'acteur ne commence la composante destructrice de l'attaque.
Pour les organisations, la recommandation pratique est de revoir la chaîne de confiance de tous les conducteurs installés, de limiter les privilèges pour l'installation des conducteurs, de séparer les fonctions critiques sur le réseau et de continuer à changer les sauvegardes hors ligne. Prévenir l'exécution de binaires inattendus et l'audition de modèles de machine virtuelle sont des étapes qui pèsent aujourd'hui autant que les correctifs et le renforcement des paramètres.
La leçon qui laisse des cas comme Reynolds est claire: les attaquants ne dépendent pas seulement d'une technique; ils cherchent à combiner des composants jusqu'à ce que l'opération soit robuste et silencieuse. La défense nécessite des contrôles techniques approfondis et des processus organisationnels qui réduisent la surface de l'attaque et accélèrent la réaction. Dans un panorama où les méthodes sont professionnalisées et emballées, la résilience est construite avant l'incident, pas juste après.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...