Pesquisadores em segurança descobriram uma variação preocupante na operação de ransomware: uma família apodada Reynolds Reynolds que integra diretamente dentro de seu executável um componente de evasão baseado em controladores vulneráveis, o que na seringa da indústria é conhecido como BYOVD (bring your own vulnerável driver). Em vez de implantar uma ferramenta separada para desativar as soluções de proteção, o próprio binário do ransomware entrega e carga um driver legítimo, mas com falhas conhecidas, e serve-se dele para eliminar processos de segurança e elevar privilégios.
BYOVD não é uma invenção nova, mas sua inclusão “todo em um” no payload do ransomware eleva o risco e complica a detecção. A técnica, que explora controladores assinados mas com vulnerabilidades para terminar processos ou anular controlos, tem sido documentada em múltiplos incidentes anteriores; por exemplo, as análises sobre ataques envolvendo Ryuk em 2020 e outros incidentes mais recentes mostram como os atores criminosos têm contado com controladores de terceiros para desativar EDRs e antivírus ( Fortinet).
No caso de Reynolds, o componente embebido deixa cair um driver de NsecSoft chamado NSecKrnl — um módulo com uma vulnerabilidade pública identificada como CVE-2025-68947 — e a partir daí, procede-se a concluir processos associados a produtos amplamente implantados em empresas: desde Avast e CrowdStrike Falcon até Palo Alto Networks Cortex XDR, Sophos e Symantec, entre outros. Pesquisadores salientaram que atores como “Silver Fox” já haviam aproveitado drivers similares em campanhas prévias para preparar o terreno a cargas adicionais como o conhecido RAT ValleyRAT ( Hexastrike, Cybereason).
A incorporação direta do driver vulnerável dentro do ransomware faz com que o ataque seja mais “silencioso” e reduza a necessidade de passos intermédios por parte de um afiliado: não há um arquivo separado que deixe vestígios adicionais na rede ou uma implantação prévia que os defensores possam detectar. Segundo as assinaturas que analisaram a amostra, além do próprio BYOVD o ataque mostrado por Reynolds tinha sinais típicos de operação organizada: presença prévia de um carregador lateral (side-loaded loader) semanas antes da ativação do ransomware, e a posterior instalação de uma ferramenta de acesso remoto (GotoHTTP) após a corrupção dos sistemas, sugerindo intenção de manter acesso e de realizar manobras de pós-explotação.
Este padrão faz parte de uma tendência mais ampla: nos últimos meses e anos os grupos de ransomware têm profissionalizado suas cadeias de valor e diversificado técnicas. Alguns atores desenvolveram “serviços” e ferramentas próprias para apoiar afiliados, como relatórios e scripts de extorsão do DragonForce, enquanto outros modernizaram suas capacidades técnicas – LockBit 5.0, por exemplo, passou a usar ChaCha20 e ampliou seu alcance multiplataforma, além de incorporar técnicas anti-análises e componentes que atuam como wipers – ( LevelBlue, LevelBlue).
Em paralelo, os vetores de entrega continuam evoluindo. Campanhas maciças de phishing que usam acessos diretos (.LNK) para executar PowerShell e baixar droppers serviram para propagar famílias como GLOBAL GROUP, que até pode operar sem depender de comunicações externas e é compatível com ambientes air-gapped ( Forcepoint). Outros operadores têm abusado de infra-estruturas de virtualização mal configuradas para implantar em escala VMs que atuem como hosts de entrega, aproveitando modelos com identificadores estáticos para complicar a mitigação por parte dos defensores ( Sophos, Seqrite).
Os números recentes confirmam o embate: o aparecimento constante de novos grupos e a colaboração entre bandas tradicionais mantiveram a pressão sobre organizações de todo tamanho. Relatórios da indústria apontam que a actividade de extorsão por roubo de dados aumentou e que os pagamentos médios de resgate foram disparados em certos trimestres, impulsionados por algumas negociações “excepcionais” que distorcem a média ( ReliaQuest, Coveware).
Diante desse cenário, as defesas convencionais requerem ajustes. Os drivers são um elo crítico: permitir a instalação indiscriminada de drivers de terceiros ou manter modelos de máquina virtual sem revisar abre vetores fáceis de explorar. Manter uma política de allowlisting de drivers, aplicar adesivos tão cedo quanto disponíveis - especialmente para erros divulgados publicamente como o CVE mencionado - e monitorar comportamentos anormais de processos e cargas de kernel traz uma barreira importante. As recomendações de organismos como a CISA e as práticas de hardening de endpoints e backups permanecem fundamentais ( CISA).
Também é importante que os equipamentos de segurança vigilem sinais precoces de compromisso: side-loading de binários legítimos, implantaçãos “silenciosos” de drivers, ferramentas de acesso remoto instaladas a posteriori e movimentos laterais que precedem a ativação da criptografia. Ferramentas de detecção que analisem a telemetria do kernel e correlacionem eventos na rede podem descobrir intrusões antes que o ator ponha em marcha o componente destrutivo do ataque.
Para as organizações, a recomendação prática é rever a cadeia de confiança de todos os controladores instalados, limitar privilégios para a instalação de drivers, segregar funções críticas na rede e manter cópias de segurança imutávels fora de linha. Prevenir a execução de binários não esperados e auditar modelos de máquinas virtuais são passos que hoje pesam tanto quanto os adesivos e o reforço de endpoints.
A lição que deixam casos como Reynolds é clara: os atacantes não dependem apenas de uma técnica; buscam combinar componentes até que a operação seja robusta e silenciosa. Defender-se exige tanto controles técnicos em profundidade como processos organizacionais que reduzam a superfície de ataque e acelerem a resposta. Num panorama onde os métodos são profissionalizados e embalados, a resiliência é construída antes do incidente, não só depois.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...