Pesquisadores em cibersegurança identificaram uma nova família de ransomware chamada Reynolds que introduz uma variante perigosa de uma tática já conhecida: o chamado "bring your own vulnerável driver" ou BYOVD. Em essência, BYOVD consiste em aproveitar controladores legítimos, mas com falhas para conseguir privilégios elevados e deixar fora de combate às soluções de detecção e resposta em endpoints, de modo que a infecção avança sem ser detectada. Para aprofundar este mecanismo, você pode consultar uma análise detalhada no blog Halcyon.
O que faz singular ao caso Reynolds é que o componente vulnerável não se desdobra como um kit além antes da entrega da criptografia, mas vem empacotado dentro do próprio executável do ransomware. De acordo com a equipe de caçadores de ameaças da Symantec e do Carbon Black, a campanha instala-se um driver da NsecSoft denominado NSecKrnl para explorar uma vulnerabilidade que permite terminar processos arbitrários, e depois se procede a parar serviços e processos de segurança de fabricantes conhecidos. Você pode ler o relatório compartilhado com The Hacker News e resumido por Security.com.
O controlador empacotado está relacionado com uma falha conhecida catalogada como CVE-2025-68947, cujo aproveitamento facilita o fechamento de processos. Não é a primeira vez que atores maliciosos tiram partido de drivers com assinatura legítima, mas com erros: pesquisas prévias documentam como ameaças como Silver Fox têm usado exatamente esse controlador para neutralizar soluções e implantar cargas como ValleyRAT, e há história de uso de BYOVD em campanhas de ransomware desde anos anteriores. Uma análise do uso deste tipo de driver por parte de atores como Silver Fox pode ser consultada em Hexastrike.
Na campanha detalhada, os atacantes não só deixaram cair o driver vulnerável, mas o código buscava ativamente e terminava processos associados a soluções de proteção como Avast, CrowdStrike Falcon, Palo Alto Networks Cortex XDR, Sophos (y HitmanPro.Alert), e Symantec Endpoint Protection, entre outras. Esse fechamento seletivo de defesas facilita que a criptografia complete sua tarefa sem obstáculos.
Assinaturas de segurança e fornecedores observaram variações desta combinação de evasão e ransomware antes. Por exemplo, a Broadcom e outros equipamentos de pesquisa apontaram campanhas passadas onde a evasão por controladores vulneráveis se integrou em operações de ransomware - um antecedente notável foi um caso com a família Ryuk em 2020 - e foram relatados incidentes recentes com famílias menos conhecidas que repetem o padrão. Uma revisão da recorrência de técnicas semelhantes em Ryuk está disponível no blog Fortinet.
Outro elemento que chamou a atenção dos pesquisadores foi a existência de atividade prévia na rede comprometida: semanas antes que Reynolds detone a encriptação apareceu um carregador lateral (side-loaded loader) suspeito, e um dia após a implantação do ransomware foi detectada a instalação do programa de acesso remoto GotoHTTP. Isso sugere um padrão típico de intrusão em várias fases, com exploração, estabelecimento de persistência e, finalmente, detonação do ransomware.
Na perspectiva do atacante, empacotar a capacidade de evasão junto com o próprio ransomware tem vantagens evidentes: reduz a necessidade de baixar ou executar binários adicionais que possam gerar alertas, e torna o conjunto mais “silencioso” do ponto de vista da detecção. Para os defensores, esta integração complica a rastreabilidade e obriga a olhar para além do executável da encriptação para detectar a carga útil completa.
O achado de Reynolds chega em um momento em que o panorama do ransomware se mostra fragmentado e ao mesmo tempo profissionalizado. Nas últimas semanas foram documentadas campanhas de alto volume que aproveitam atalhos clássicos, como remessas massivas de phishing com acessos diretos LNK que executam PowerShell para baixar um dropper (ruta seguida pela família GLOBAL GROUP), conforme detalham os analistas de Forcepoint. Esse tipo de droppers pode mesmo operar em ambientes isolados da rede ao realizar todas as ações na máquina local.
Outros abusos recentes apontam para infraestruturas virtuais mal configuradas. A família WantToCry tem aproveitado modelos por defeito de VMmanager do ISPsystem para criar milhares de máquinas virtuais com nomes e identificadores estáticos, o que facilita seu aluguel por "hosting" pouco escrupuloso e complica as ações de bloqueio por parte das autoridades. Pesquisas como a da Sophos Eles mostram como uma fraqueza de provisão pode ser explorada em escala por atores maliciosos.
Paralelamente, algumas bandas de ransomware avançam na profissionalização de seu “serviço ao afiliado”. Um exemplo é o DragonForce, que oferece um pacote de apoio a operações de extorsão — incluindo auditorias de dados, material comunicacional e roteiros para negociar — de acordo com a análise de LevelBlue. Por sua vez, LockBit evoluiu para versões mais complexas, com LockBit 5.0 usando ChaCha20 para cifrar múltiplas plataformas (Windows, Linux e ESXi), incorporando capacidades de remoção (wiper), atrasos na execução e técnicas anti-análises, como descrevem os pesquisadores da LevelBlue em vários relatórios ( Introdução ao LockBit 5.0 e peças complementares sobre os seus objectivos Windows, Linux e ESXi).
As táticas de BYOVD também foram exploradas com outros controladores vulneráveis: o grupo Interlock, por exemplo, usou uma falha no driver anti-cheat GameDriverx64.sys ( CVE-2025-61155) para desativar defesas e implantar malware de acesso remoto como NodeSnake/Interlock RAT, em incidentes onde a intrusão inicial se vinculou a um carregador chamado MintLoader, conforme relata Fortinet em sua pesquisa sobre o grupo ( análise Interlock).
Outra mudança relevante é o giro de alguns operadores do foco tradicional em servidores locais para objetivos na nuvem: buckets mal configurados na AWS S3 e outros serviços tornaram-se brancos valiosos para roubo e sabotagem de dados. Pesquisas da indústria, incluindo trabalho de Trend Micro, mostram como atores exploram características nativas da nuvem para apagar, cifrar ou exfiltrar informações sem chamar tanto a atenção.
A proliferação de novos grupos em 2025 (conforme listados Cyble) e o aumento na atividade de bandas já conhecidas têm elevado o volume de incidentes. Relatórios de monitoramento como o de ReliaQuest Apresentam picos de vazamento de dados e listados em sites de filtragem; em paralelo, dados de resposta a incidentes Coveware Eles reflectem que o pagamento médio de resgate no quarto trimestre de 2025 foi influenciado por alguns acordos de grande montante.
Que lições práticas deixa esta onda? Em primeiro lugar, a higiene de segurança básica volta a aparecer como prioridade: sistemas de sistemas de sistema, restringir a instalação de drivers assinados que não sejam autorizados e monitorizar cargas laterais e processos incomuns. As soluções EDR devem reforçar a supervisão do kernel e não se limitar à assinatura de um driver para considerá-lo benigno. Por outro lado, as organizações que gerem recursos na nuvem devem auditar permissões e configurações de armazenamento, e aplicar controles para evitar que modelos ou imagens reutilizáveis facilitem o abuso massivo.
A convergência de técnicas — desde BYOVD empacotado até o uso de hosts virtuais mal configurados e serviços “para afiliados” que profissionalizam a extorsão – pinta um panorama em que os atacantes procuram reduzir as frições operacionais e elevar o impacto por intrusão. O resultado é uma ameaça mais sofisticada e resiliente, que exige não só ferramentas, mas processos e controles de governança mais estritos.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...