⚡ Não perca: notícia importante no ar! ⚡
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram detalhes de uma família emergente de ransomware chamada Reynolds, que vem incorporada com um componente integrado de trazer seu próprio driver vulnerável (BYOVD) para fins de evasão de defesa dentro da própria carga de ransomware.
BYOVD refere-se a uma técnica adversária que abusa de software de driver legítimo, mas defeituoso, para aumentar privilégios e desabilitar soluções de detecção e resposta de endpoint (EDR), para que atividades maliciosas passem despercebidas. A estratégia foi adotada por muitos grupos de ransomware ao longo dos anos.
“Normalmente, o componente de evasão de defesa BYOVD de um ataque envolveria uma ferramenta distinta que seria implantada no sistema antes da carga útil do ransomware para desativar o software de segurança”, disse a equipe Symantec e Carbon Black Threat Hunter em um relatório compartilhado com The Hacker News. “No entanto, neste ataque, o driver vulnerável (um driver NsecSoft NSecKrnl) foi incluído no próprio ransomware.”
As equipes de segurança cibernética da Broadcom observaram que essa tática de agrupar um componente de evasão de defesa dentro da carga útil do ransomware não é nova e que foi observada em um ataque de ransomware Ryuk em 2020 e em um incidente envolvendo uma família de ransomware menos conhecida chamada Obscura no final de agosto de 2025.
Na campanha de Reynolds, o ransomware foi projetado para descartar um driver NsecSoft NSecKrnl vulnerável e encerrar processos associados a vários programas de segurança da Avast, CrowdStrike Falcon, Palo Alto Networks Cortex XDR, Sophos (junto com HitmanPro.Alert) e Symantec Endpoint Protection, entre outros.
É importante notar que o driver NSecKrnl é suscetível a uma falha de segurança conhecida (CVE-2025-68947, pontuação CVSS: 5,7) que pode ser explorada para encerrar processos arbitrários. Notavelmente, o driver foi usado por um agente de ameaça conhecido como Silver Fox em ataques projetados para eliminar ferramentas de segurança de endpoint antes de entregar o ValleyRAT.
Durante o ano passado, o grupo de hackers já utilizou vários drivers legítimos, mas falhos – incluindo truesight.sys e amsdk.sys – como parte de ataques BYOVD para desarmar programas de segurança.
Ao reunir recursos de evasão de defesa e ransomware em um único componente, fica mais difícil para os defensores interromper o ataque, sem mencionar a eliminação da necessidade de um afiliado incorporar separadamente essa etapa em seu modus operandi.
“Também digno de nota nesta campanha de ataque foi a presença de um carregador de carregamento lateral suspeito na rede do alvo várias semanas antes da implantação do ransomware”, disseram Symantec e Carbon Black. “Também digno de nota nesta campanha de ataque foi a presença de um carregador de carregamento lateral suspeito na rede do alvo várias semanas antes da implantação do ransomware.”
Outra ferramenta implantada na rede alvo um dia após a implantação do ransomware foi o programa de acesso remoto GotoHTTP, indicando que os invasores podem estar procurando manter acesso persistente aos hosts comprometidos.
“BYOVD é popular entre os invasores devido à sua eficácia e dependência de arquivos legítimos e assinados, que têm menos probabilidade de levantar sinais de alerta”, disse a empresa.
“As vantagens de envolver a capacidade de evasão de defesa com a carga útil do ransomware, e a razão pela qual os atores do ransomware podem fazer isso, podem incluir o fato de que empacotar o binário de evasão de defesa e a carga útil do ransomware juntos é “mais silencioso”, sem nenhum arquivo externo separado descartado na rede da vítima.
A descoberta coincide com vários desenvolvimentos relacionados ao ransomware nas últimas semanas -
Uma campanha de phishing de alto volume usou e-mails com anexos de atalho do Windows (LNK) para executar o código do PowerShell que busca um conta-gotas Phorpiex, que é então usado para entregar o ransomware GLOBAL GROUP. O ransomware é notável por realizar todas as atividades localmente no sistema comprometido, tornando-o compatível com ambientes isolados. Ele também não realiza exfiltração de dados.
Os ataques montados pelo WantToCry abusaram de máquinas virtuais (VMs) provisionadas pelo ISPsystem, um provedor legítimo de gerenciamento de infraestrutura virtual, para hospedar e entregar cargas maliciosas em escala. Alguns dos nomes de host foram identificados na infraestrutura de vários operadores de ransomware, incluindo LockBit, Qilin, Conti, BlackCat e Ursnif, bem como em várias campanhas de malware envolvendo NetSupport RAT, PureRAT, Lampion, Lumma Stealer e RedLine Stealer.
Avalia-se que os provedores de hospedagem à prova de balas estão alugando máquinas virtuais do sistema ISP para outros atores criminosos para uso em operações de ransomware e entrega de malware, explorando uma fraqueza de design nos modelos padrão do Windows do VMmanager que reutilizam o mesmo nome de host estático e identificadores de sistema sempre que são implantados. Isso, por sua vez, permite que os agentes de ameaças configurem milhares de VMs com o mesmo nome de host e compliquem a remoção
BYOVD refere-se a uma técnica adversária que abusa de software de driver legítimo, mas defeituoso, para aumentar privilégios e desabilitar soluções de detecção e resposta de endpoint (EDR), para que atividades maliciosas passem despercebidas. A estratégia foi adotada por muitos grupos de ransomware ao longo dos anos.
“Normalmente, o componente de evasão de defesa BYOVD de um ataque envolveria uma ferramenta distinta que seria implantada no sistema antes da carga útil do ransomware para desativar o software de segurança”, disse a equipe Symantec e Carbon Black Threat Hunter em um relatório compartilhado com The Hacker News. “No entanto, neste ataque, o driver vulnerável (um driver NsecSoft NSecKrnl) foi incluído no próprio ransomware.”
As equipes de segurança cibernética da Broadcom observaram que essa tática de agrupar um componente de evasão de defesa dentro da carga útil do ransomware não é nova e que foi observada em um ataque de ransomware Ryuk em 2020 e em um incidente envolvendo uma família de ransomware menos conhecida chamada Obscura no final de agosto de 2025.
Na campanha de Reynolds, o ransomware foi projetado para descartar um driver NsecSoft NSecKrnl vulnerável e encerrar processos associados a vários programas de segurança da Avast, CrowdStrike Falcon, Palo Alto Networks Cortex XDR, Sophos (junto com HitmanPro.Alert) e Symantec Endpoint Protection, entre outros.
É importante notar que o driver NSecKrnl é suscetível a uma falha de segurança conhecida (CVE-2025-68947, pontuação CVSS: 5,7) que pode ser explorada para encerrar processos arbitrários. Notavelmente, o driver foi usado por um agente de ameaça conhecido como Silver Fox em ataques projetados para eliminar ferramentas de segurança de endpoint antes de entregar o ValleyRAT.
Durante o ano passado, o grupo de hackers já utilizou vários drivers legítimos, mas falhos – incluindo truesight.sys e amsdk.sys – como parte de ataques BYOVD para desarmar programas de segurança.
Ao reunir recursos de evasão de defesa e ransomware em um único componente, fica mais difícil para os defensores interromper o ataque, sem mencionar a eliminação da necessidade de um afiliado incorporar separadamente essa etapa em seu modus operandi.
“Também digno de nota nesta campanha de ataque foi a presença de um carregador de carregamento lateral suspeito na rede do alvo várias semanas antes da implantação do ransomware”, disseram Symantec e Carbon Black. “Também digno de nota nesta campanha de ataque foi a presença de um carregador de carregamento lateral suspeito na rede do alvo várias semanas antes da implantação do ransomware.”
Outra ferramenta implantada na rede alvo um dia após a implantação do ransomware foi o programa de acesso remoto GotoHTTP, indicando que os invasores podem estar procurando manter acesso persistente aos hosts comprometidos.
“BYOVD é popular entre os invasores devido à sua eficácia e dependência de arquivos legítimos e assinados, que têm menos probabilidade de levantar sinais de alerta”, disse a empresa.
“As vantagens de envolver a capacidade de evasão de defesa com a carga útil do ransomware, e a razão pela qual os atores do ransomware podem fazer isso, podem incluir o fato de que empacotar o binário de evasão de defesa e a carga útil do ransomware juntos é “mais silencioso”, sem nenhum arquivo externo separado descartado na rede da vítima.
A descoberta coincide com vários desenvolvimentos relacionados ao ransomware nas últimas semanas -
Uma campanha de phishing de alto volume usou e-mails com anexos de atalho do Windows (LNK) para executar o código do PowerShell que busca um conta-gotas Phorpiex, que é então usado para entregar o ransomware GLOBAL GROUP. O ransomware é notável por realizar todas as atividades localmente no sistema comprometido, tornando-o compatível com ambientes isolados. Ele também não realiza exfiltração de dados.
Os ataques montados pelo WantToCry abusaram de máquinas virtuais (VMs) provisionadas pelo ISPsystem, um provedor legítimo de gerenciamento de infraestrutura virtual, para hospedar e entregar cargas maliciosas em escala. Alguns dos nomes de host foram identificados na infraestrutura de vários operadores de ransomware, incluindo LockBit, Qilin, Conti, BlackCat e Ursnif, bem como em várias campanhas de malware envolvendo NetSupport RAT, PureRAT, Lampion, Lumma Stealer e RedLine Stealer.
Avalia-se que os provedores de hospedagem à prova de balas estão alugando máquinas virtuais do sistema ISP para outros atores criminosos para uso em operações de ransomware e entrega de malware, explorando uma fraqueza de design nos modelos padrão do Windows do VMmanager que reutilizam o mesmo nome de host estático e identificadores de sistema sempre que são implantados. Isso, por sua vez, permite que os agentes de ameaças configurem milhares de VMs com o mesmo nome de host e compliquem a remoção
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #reynolds #ransomware #incorpora #driver #byovd #para #desativar #ferramentas #de #segurança #edr
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário