The Last 24 Hours | 安全无小事

Reynolds 勒索软件嵌入 BYOVD 驱动以禁用 EDR 安全工具

2026/2/10 恶意软件 The Hacker News

网络安全研究人员披露了一种新出现的勒索软件家族,名为 Reynolds,该家族在勒索负载内部嵌入了自带易受攻击驱动(BYOVD)组件,用于规避防御。

BYOVD 是一种利用合法但存在缺陷的驱动程序提升权限并禁用端点检测与响应(EDR)解决方案的攻击技术,使恶意活动不被发现。多年来,这一策略已被众多勒索组织采用。

Symantec 与 Carbon Black 威胁猎人团队在报告中指出:“通常,BYOVD 防御规避组件会作为独立工具在勒索负载之前部署,以禁用安全软件。但本次攻击中,易受攻击的驱动(NsecSoft NSecKrnl 驱动)与勒索软件本体捆绑在一起。”

Broadcom 的安全团队指出,将防御规避组件与勒索负载捆绑的做法并非新颖,过去在 2020 年的 Ryuk 勒索攻击以及 2025 年 8 月的 Obscura 勒索事件中已有类似案例。

在 Reynolds 攻击中,勒索软件会投放易受攻击的 NsecSoft NSecKrnl 驱动,并终止 Avast、CrowdStrike Falcon、Palo Alto Networks Cortex XDR、Sophos(含 HitmanPro.Alert)以及 Symantec Endpoint Protection 等安全程序的进程。

值得注意的是,NSecKrnl 驱动存在已知安全漏洞 CVE-2025-68947(CVSS 5.7),可被利用来终止任意进程。该驱动曾被代号为 Silver Fox 的威胁行为者用于在投放 ValleyRAT 前先行杀掉端点安全工具。

过去一年,该黑客组织已多次使用合法但有缺陷的驱动,如 truesight.sys 和 amsdk.sys,作为 BYOVD 攻击的一部分,以解除安全程序的防护。

将防御规避与勒索功能合并为单一组件,使防御者更难阻止攻击,同时也免去了分支成员单独执行此步骤的需求。

Symantec 与 Carbon Black 还指出,本次攻击活动中,在勒索软件部署前数周,目标网络出现了可疑的侧加载加载器。

勒索软件部署后一天,攻击者在目标网络上放置了 GotoHTTP 远程访问程序,表明其可能希望保持对受感染主机的持久访问。

该公司表示,BYOVD 因其高效且依赖合法签名文件而受到攻击者青睐,这类文件不易触发安全警报。

将防御规避能力与勒索负载打包在一起的优势在于,这种“更安静”的方式不会在受害网络上留下独立的外部文件。

此发现恰逢近期多项勒索软件相关动态的出现:

  • 一次大规模钓鱼活动利用 Windows 快捷方式(LNK)附件运行 PowerShell 代码,获取 Phorpiex 投放器,进而投放 GLOBAL GROUP 勒索软件。该勒索软件全部在本地执行,适用于空气隔离环境且不进行数据外泄。
  • WantToCry 发动的攻击滥用 ISPsystem 提供的合法虚拟机,用于大规模托管和投递恶意载荷。多个主机名出现在 LockBit、Qilin、Conti、BlackCat、Ursnif 等勒索组织以及多款 RAT 和信息窃取工具的基础设施中。
  • 评估认为,防弹托管服务商将 ISPsystem 虚拟机租给其他犯罪团伙,通过利用 VMmanager 默认 Windows 模板重复使用相同主机名和系统标识的设计缺陷,使威胁行为者能够批量创建同名虚拟机,增加了 takedown 的难度。
  • DragonForce 创建了“公司数据审计”服务,为其分支在勒索敲诈期间提供风险报告、沟通材料(如电话脚本、执行层信函)以及影响谈判的策略指导。该组织以卡特尔形式运作,允许分支使用自有品牌并共享资源。
  • 最新的 LockBit 5.0 版本已改用 ChaCha20 加密算法,对 Windows、Linux 与 ESXi 环境的文件和数据进行加密,并加入了擦除组件、加密前延迟执行、进度条跟踪加密状态、改进的反分析技术以及增强的内存执行,以降低磁盘痕迹。
  • Interlock 勒索组织继续针对英美教育机构发动攻击,利用游戏防作弊驱动 GameDriverx64.sys(CVE-2025-61155,CVSS 5.5)的零日漏洞在 BYOVD 攻击中禁用安全工具,并部署 NodeSnake/Interlock RAT(又名 CORNFLAKE)窃取敏感数据,初始入口据称来源于 MintLoader 感染。
  • 勒索组织正日益将目标从传统本地系统转向云存储服务,尤其是误配置的 AWS S3 桶,利用云原生功能删除或覆盖数据、暂停访问或提取敏感内容,同时保持低可见性。

根据 Cyble 数据,GLOBAL GROUP 是 2025 年新出现的多支勒索团队之一,其他包括 Devman、DireWolf、NOVA、J group、Warlock、BEAST、Sinobi、NightSpire 与 The Gentlemen。仅 2025 年第四季度,Sinobi 的数据泄露站点列表增长了 306%,成为仅次于 Qilin 与 Akira 的第三活跃组织。

研究员 Gautham Ashok 表示:“LockBit 5.0 的回归是第四季度最大的变化之一,12 月单月列出 110 家受害组织,显示该组织能够快速规模化执行、将入侵转化为影响,并维持高产的分支渠道。”

新玩家的出现与既有组织之间的合作导致勒索活动激增。2025 年勒索行为者共计发动 4,737 起攻击,高于 2024 年的 4,701 起;其中仅依赖数据窃取而不加密的攻击达到 6,182 起,较前一年增长 23%。

平均赎金在 2025 年第四季度达到 591,988 美元,比第三季度增长 57%,主要受少数“大额和解”推动,Coveware 预测威胁行为者可能重新回归“数据加密”策略以获取更大勒索收益。