Les chercheurs en cybersécurité ont identifié une nouvelle famille de Ransomware, Reynolds, qui introduit une variante dangereuse d'une tactique déjà connue : le soi-disant « amener votre propre conducteur vulnérable » ou BYOVD. En substance, BYOVD est de profiter de contrôleurs légitimes mais échoués pour obtenir des privilèges élevés et laisser hors de la lutte les solutions de détection et de réponse dans les paramètres, de sorte que l'infection a progressé sans être détecté. Pour développer ce mécanisme, une analyse détaillée peut être trouvée sur le blog de Halcyon.
Ce qui rend l'affaire Reynolds unique est que le composant vulnérable n'est pas déployé comme un kit séparé avant la livraison du chiffrement, mais est emballé dans l'exécutable de l'ansomware lui-même. Selon l'équipe de lutte contre la menace Symantec et Carbon Black, la campagne a mis en place un pilote NsecSoft appelé NSecKrnl pour exploiter une vulnérabilité qui permet des processus arbitraires à compléter, et est suivie par l'arrêt des services de sécurité et des processus de fabricants connus. Le rapport partagé avec The Hacker News et résumé par Sécurité.com.
Le contrôleur d'emballage est lié à une faute connue CVE-2025-68947 dont l'utilisation facilite la fermeture des processus. Ce n'est pas la première fois que des acteurs malveillants profitent des pilotes avec une signature légitime mais avec des erreurs : les enquêtes précédentes documentent comment des menaces comme Silver Fox ont utilisé exactement ce contrôleur pour neutraliser des solutions et déployer des charges comme RAT Valley, et il ya une histoire de l'utilisation de BYOVD dans les campagnes Ransomware depuis les années précédentes. Une analyse de l'utilisation de ce type de pilote par des acteurs comme Silver Fox peut être trouvée à Hexastrike.
Dans la campagne détaillée, les attaquants ont non seulement laissé tomber le conducteur vulnérable, mais le code a activement cherché et mis fin aux processus associés aux solutions de protection telles qu'Avast, CrowdStrike Falcon, Palo Alto Networks Cortex XDR, Sophos (et HitmanPro.Alert) et Symantec Endpoint Protection, entre autres. Cette fermeture sélective des défenses facilite la tâche du chiffrement sans obstacles.
Les signes de sécurité et les fournisseurs ont déjà observé des variations dans cette combinaison d'évasion et de ransomware. Par exemple, Broadcom et d'autres équipes de recherche ont identifié des campagnes passées où l'évasion par des contrôleurs vulnérables a été intégrée dans les opérations de Ransomware - un contexte remarquable a été un cas avec la famille Ryuk en 2020 - et des incidents récents avec des familles moins connues ont été signalés qui répètent la tendance. Une revue de la réapparition de techniques similaires à Ryuk est disponible sur le blog de Fortinet.
Un autre élément qui a attiré l'attention des chercheurs était l'existence d'une activité antérieure sur le réseau compromis: semaines avant Reynolds a fait exploser le chiffrement d'un chargeur latéral suspect (chargeur latéral) et un jour après le déploiement du ransomware a été détecté l'installation du programme d'accès à distance GotoHTTP. Ceci suggère un schéma typique d'intrusion en plusieurs phases, avec l'exploration, l'établissement de la persistance et, enfin, la détonation de l'ansomware.
Du point de vue de l'attaquant, l'emballage de la capacité d'échappement avec le Ransomware lui-même présente des avantages évidents : il réduit le besoin de télécharger ou d'exécuter des binaires supplémentaires qui peuvent générer des alertes, et rend l'ensemble plus « silencieux » du point de vue de la détection. Pour les défenseurs, cette intégration complique la traçabilité et vous force à regarder au-delà de l'exécutable du chiffre pour détecter la charge utile complète.
La découverte de Reynolds arrive à un moment où le panorama du ransomware est fragmenté et en même temps professionnalisé. Au cours des dernières semaines, on a documenté des campagnes à volume élevé qui tirent parti des raccourcis classiques, comme des envois massifs d'hameçonnage avec des accès directs LNK qui lancent PowerShell pour abaisser une goutteuse (route suivie de la famille GLOBAL GROUP), comme l'ont expliqué les analystes de Point de force. Ces goutteuses peuvent même fonctionner dans des environnements isolés du réseau en exécutant toutes les actions de la machine locale.
D'autres abus récents indiquent une infrastructure virtuelle mal configurée. La famille WantToCry a profité des modèles par défaut ISPsystem VMmanager pour créer des milliers de machines virtuelles avec des noms et des identifiants statiques, ce qui facilite leur location en « hébergeant » sans scrupule et complique les actions de blocage des autorités. Enquêtes telles que Sophos montrer comment une faiblesse de l'offre peut être exploitée à une échelle par des acteurs malveillants.
En parallèle, certaines bandes de ransomware avancent dans la professionnalisation de leur « service affilié ». Un exemple est DragonForce, qui offre un ensemble de support pour les opérations d'extorsion - y compris des audits de données, du matériel de communication et des scripts commerciaux - selon l'analyse de Niveau Bleu. Pour sa part, LockBit a évolué vers des versions plus complexes, avec LockBit 5.0 utilisant ChaCha20 pour chiffrer plusieurs plateformes (Windows, Linux et ESXi), intégrant essuie-glaces, délais d'exécution et techniques anti-analyse, comme décrit par les chercheurs LevelBlue dans plusieurs rapports ( introduction à LockBit 5.0 et des parties complémentaires sur leurs objectifs Windows, Linux et ESXi).
Les tactiques BYOVD ont également été exploitées avec d'autres contrôleurs vulnérables: le groupe Interlock, par exemple, a utilisé un bug dans le pilote anti-chaleur GameDriverx64.sys ( CVE-2025-61155) pour désactiver les défenses et déployer des logiciels malveillants d'accès à distance comme NodeSnake / Interlock RAT, dans les incidents où l'intrusion initiale était liée à un chargeur appelé MintLoader, comme dit Fortinet dans ses recherches sur le groupe ( Analyse de verrouillage).
Un autre changement pertinent est le passage de certains opérateurs de focalisation traditionnels vers des serveurs locaux vers des cibles cloud : des seaux mal configurés dans AWS S3 et d'autres services sont devenus des cibles précieuses pour le vol de données et le sabotage. Recherche de l'industrie, y compris les travaux Tendances Micro, montrer comment les acteurs exploitent les caractéristiques du cloud natif pour supprimer, chiffrer ou exfilter des informations sans autant d'attention.
La prolifération de nouveaux groupes en 2025 (selon Cyble) et l'augmentation de l'activité des bandes connues ont augmenté le volume des incidents. Rapports de suivi ReliaQuest montrent les pics de fuite des données et sont répertoriés sur les sites de filtration; en parallèle, les données pour la réponse aux incidents de Coveware que la moyenne des paiements de sauvetage au quatrième trimestre de 2025 a été déclenchée par quelques accords à grande échelle.
Quelles leçons pratiques cette vague laisse - t - elle? Tout d'abord, L'hygiène de sécurité de base réapparaît comme une priorité: contrôleurs et systèmes de patchage, limitation de l'installation de conducteurs non autorisés et contrôle des charges latérales et des processus inhabituels. Les solutions EDR devraient renforcer la supervision du noyau et ne pas compter uniquement sur la signature d'un conducteur pour considérer qu'il est bénin. D'autre part, les organisations qui gèrent les ressources en nuage devraient vérifier les autorisations et les configurations de stockage et appliquer des contrôles pour empêcher les modèles ou les images réutilisables de faciliter l'abus de masse.
La convergence des techniques - de BYOVD emballé à l'utilisation d'hôtes virtuels mal configurés et de services "affiliés" qui professionnalisent l'extorsion - peint une image dans laquelle les attaquants cherchent à réduire la friction opérationnelle et augmenter l'impact par intrusion. Il en résulte une menace plus sophistiquée et plus résiliente, qui nécessite non seulement des outils, mais aussi des processus et des contrôles de gouvernance plus rigoureux..
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...