網路安全研究人員披露了一個名為Reynolds的新興勒索軟體家族的詳細資訊,該勒索軟體在其有效載荷中內置了自帶易受攻擊驅動程序(BYOVD)組件,用於防禦規避目的。
BYOVD是一種對抗性技術,通過濫用合法但存在缺陷的驅動程序軟體來提升權限並禁用端點檢測與響應(EDR)解決方案,使惡意活動不被發現。多年來,許多勒索軟體團體都採用了這種策略。
Symantec和Carbon Black威脅獵手團隊在與The Hacker News分享的報告中表示:"通常情況下,攻擊的BYOVD防禦規避組件會涉及一個獨立工具,該工具會在勒索軟體有效載荷之前部署到系統上以禁用安全軟體。然而,在這次攻擊中,易受攻擊的驅動程序(NsecSoft NSecKrnl驅動程序)與勒索軟體本身捆綁在一起。"
Broadcom的網路安全團隊指出,在勒索軟體有效載荷中捆綁防禦規避組件的策略並非新穎,2020年的Ryuk勒索軟體攻擊和2025年8月下旬涉及一個較不知名的勒索軟體家族Obscura的事件中都觀察到了這種做法。
在Reynolds攻擊活動中,勒索軟體被設計為投放一個易受攻擊的NsecSoft NSecKrnl驅動程序,並終止與Avast、CrowdStrike Falcon、Palo Alto Networks Cortex XDR、Sophos(以及HitmanPro.Alert)和Symantec Endpoint Protection等各種安全程序相關的進程。
值得注意的是,NSecKrnl驅動程序容易受到已知安全漏洞(CVE-2025-68947,CVSS評分:5.7)的攻擊,該漏洞可被利用來終止任意進程。值得注意的是,該驅動程序已被名為Silver Fox的威脅行為者用於在交付ValleyRAT之前殺死端點安全工具的攻擊中。
在過去的一年中,該黑客組織之前曾使用多個合法但存在缺陷的驅動程序——包括truesight.sys和amsdk.sys——作為BYOVD攻擊的一部分來解除安全程序的武裝。
通過將防禦規避和勒索軟體能力整合到一個組件中,這使得防禦者更難阻止攻擊,更不用說消除了關聯方需要單獨將此步驟納入其作案手法的需要。
Symantec和Carbon Black表示:"這次攻擊活動中另一個值得注意的是,在勒索軟體部署前幾周,目標網路上出現了一個可疑的側加載加載器。"
勒索軟體部署後一天在目標網路上部署的另一個工具是GotoHTTP遠程訪問程序,表明攻擊者可能希望保持對受感染主機的持續訪問。
該公司表示:"BYOVD因其有效性和對合法簽名文件的依賴而受到攻擊者的歡迎,這些文件不太可能引起警覺。"
"將防禦規避能力與勒索軟體有效載荷包裝在一起的優勢,以及勒索軟體行為者可能這樣做的原因,可能包括將防禦規避二進制文件和勒索軟體有效載荷打包在一起更加'安靜',沒有單獨的外部文件投放到受害者網路上。"
這一發現與最近幾周各種勒索軟體相關發展相吻合——
一個大規模釣魚活動使用帶有Windows快捷方式(LNK)附件的電子郵件來運行PowerShell代碼,該代碼獲取Phorpiex投放器,然後用於交付GLOBAL GROUP勒索軟體。該勒索軟體的顯著特點是在受感染系統上本地執行所有活動,使其與氣隙環境兼容。它也不進行數據外泄。
WantToCry發起的攻擊濫用了由ISPsystem(一個合法的虛擬基礎設施管理提供商)配置的虛擬機(VM)來大規模託管和交付惡意有效載荷。一些主機名已在多個勒索軟體操作者的基礎設施中被識別,包括LockBit、Qilin、Conti、BlackCat和Ursnif,以及涉及NetSupport RAT、PureRAT、Lampion、Lumma Stealer和RedLine Stealer的各種惡意軟體活動。
據評估,防彈託管提供商正在向其他犯罪行為者租賃ISPsystem虛擬機,用于勒索軟體操作和惡意軟體交付,這是通過利用VMmanager默認Windows模板中的設計弱點實現的,該弱點在每次部署時重複使用相同的靜態主機名和系統標識符。這反過來允許威脅行為者設置數千個具有相同主機名的虛擬機,並使取締工作複雜化。
DragonForce創建了一個"公司數據審計"服務,以在勒索活動期間支持關聯方,這是勒索軟體操作持續專業化的一部分。LevelBlue表示:"審計包括詳細的風險報告、準備好的溝通材料(如呼叫腳本和高管級別信函)以及旨在影響談判的戰略指導。"DragonForce作為一個卡特爾運作,允許關聯方創建自己的品牌,同時在其保護傘下運營並獲得其資源和服務的訪問權限。
LockBit的最新版本LockBit 5.0被發現使用ChaCha20在Windows、Linux和ESXi環境中加密文件和數據,這是從LockBit 2.0和LockBit 3.0中基於AES的加密方法的轉變。此外,新版本具有擦除組件、在加密前延遲執行的選項、使用進度條跟蹤加密狀態、改進的反分析技術以規避檢測,以及增強的內存執行以最小化磁盤痕跡。
Interlock勒索軟體團體繼續對英國和美國的組織進行攻擊,特別是教育部門,在一個案例中利用"GameDriverx64.sys"遊戲反作弊驅動程序中的零日漏洞(CVE-2025-61155,CVSS評分:5.5)在BYOVD攻擊中禁用安全工具。該攻擊的特點還包括部署NodeSnake/Interlock RAT(又名CORNFLAKE)來竊取敏感數據,而初始訪問據說源於MintLoader感染。
觀察到勒索軟體操作者越來越多地將焦點從傳統的本地目標轉向雲存儲服務,特別是Amazon Web Services(AWS)使用的配置錯誤的S3存儲桶,這些攻擊依靠原生雲功能來刪除或覆蓋數據、暫停訪問或提取敏感內容,同時保持在雷達之下。
根據Cyble的數據,GLOBAL GROUP是2025年湧現的眾多勒索軟體組織之一,其他還有Devman、DireWolf、NOVA、J group、Warlock、BEAST、Sinobi、NightSpire和The Gentlemen。僅在2025年第四季度,Sinobi的數據泄露網站列表就增加了306%,使其成為僅次於Qilin和Akira的第三活躍勒索軟體團體,據ReliaQuest稱。
研究員Gautham Ashok說:"與此同時,LockBit 5.0的回歸是第四季度最大的變化之一,由季度末的激增推動,該組織僅在12月就列出了110個組織。這一產出表明該組織能夠快速擴展執行、將入侵轉化為影響,並維持能夠大規模運營的關聯管道。"
新參與者的出現,加上現有團體之間建立的合作關係,導致了勒索軟體活動的激增。勒索軟體行為者在2025年總共聲稱進行了4,737次攻擊,高於2024年的4,701次。不涉及加密而僅依靠數據盜竊作為施壓手段的攻擊數量在同一期間達到6,182次,比2024年增長23%。
至於平均勒索贖金,2025年第四季度的數字為591,988美元,比2025年第三季度增長57%,這是由少數"超額和解"推動的,Coveware在上周的季度報告中表示,威脅行為者可能會回到其"數據加密根源",以獲得更有效的槓桿從受害者那裡勒索贖金。
Q&A
Q1:Reynolds勒索軟體與其他勒索軟體有什麼不同?
A:Reynolds勒索軟體的主要特點是在其有效載荷中內置了BYOVD組件,與傳統的先部署獨立工具再執行勒索軟體不同,Reynolds將防禦規避和勒索功能整合到一個組件中,使攻擊更加隱蔽且難以防禦。
Q2:BYOVD技術是如何工作的?
A:BYOVD是指"自帶易受攻擊驅動程序"技術,攻擊者利用合法但存在安全缺陷的驅動程序軟體來提升權限並禁用EDR等安全解決方案,由於使用的是合法簽名文件,因此不容易被安全工具檢測到。
Q3:2025年勒索軟體攻擊趨勢如何?
A:2025年勒索軟體攻擊呈現增長趨勢,攻擊者聲稱進行了4,737次攻擊,比2024年的4,701次有所增加。同時出現了多個新的勒索軟體團體,平均勒索贖金在第四季度達到591,988美元,比第三季度增長57%。
