Ransomware Reynolds utiliza controladores BYOVD para eludir la seguridad
Publicado el
Introducción
Recientemente, se ha dado a conocer el ransomware Reynolds, que destaca por integrar un controlador bring your own vulnerable driver (BYOVD) en su carga útil, lo que le permite eludir herramientas de detección y respuesta en endpoints (EDR). Esta táctica se basa en aprovechar controladores legítimos pero defectuosos para escalar privilegios y desactivar el software de seguridad, una estrategia adoptada por diversas bandas de ransomware a lo largo de los años.
Detalles del ataque
Según un informe de los equipos de Symantec y Carbon Black, el componente de evasión de defensa del ransomware Reynolds incluye un controlador NsecSoft NSecKrnl que se encuentra empaquetado junto con el propio ransomware. A diferencia de otros ataques donde se utiliza una herramienta externa para desactivar el software de seguridad antes de la ejecución del ransomware, en este caso, el controlador vulnerable se despliega simultáneamente con el malware.
Este enfoque no es nuevo, ya que se ha observado en ataques previos, como el de Ryuk en 2020 y en la familia de ransomware Obscura en agosto de 2025. El ransomware Reynolds está diseñado para eliminar procesos de programas de seguridad como Avast, CrowdStrike Falcon, Palo Alto Networks Cortex XDR, Sophos y Symantec Endpoint Protection, entre otros.
Vulnerabilidad del controlador
El controlador NSecKrnl presenta una vulnerabilidad conocida (CVE-2025-68947, con un puntaje CVSS de 5.7) que puede ser explotada para terminar procesos arbitrarios. Ha sido utilizado previamente por un actor de amenazas conocido como Silver Fox en ataques destinados a desactivar herramientas de seguridad antes de desplegar ValleyRAT. En el último año, este grupo ha utilizado varios controladores defectuosos, como truesight.sys y amsdk.sys, como parte de sus ataques BYOVD.
Implicaciones para la defensa
La incorporación de capacidades de evasión de defensa dentro de la carga útil del ransomware complica las acciones defensivas, ya que elimina la necesidad de que un afiliado realice este paso por separado. Symantec y Carbon Black también señalaron la presencia de un cargador sospechoso en la red del objetivo semanas antes de la implementación del ransomware, lo que sugiere una preparación meticulosa por parte de los atacantes. Además, un programa de acceso remoto llamado GotoHTTP fue desplegado en la red un día después del ataque, indicando que los atacantes buscan mantener un acceso persistente a las máquinas comprometidas.
Conclusiones
La técnica BYOVD es popular entre los atacantes debido a su efectividad y a que depende de archivos legítimos y firmados, lo que reduce la posibilidad de que se detecten como maliciosos. La combinación de la capacidad de evasión de defensa con el ransomware en un solo componente permite un ataque más sigiloso, sin dejar archivos externos en la red de la víctima. Este hallazgo se suma a una serie de desarrollos recientes relacionados con el ransomware, incluyendo campañas de phishing de alto volumen que utilizan accesos directos de Windows para ejecutar código PowerShell y entregar el ransomware GLOBAL GROUP, que opera de manera local en sistemas comprometidos sin exfiltración de datos.
El panorama de la ciberseguridad sigue evolucionando, y los operadores de ransomware continúan sofisticando sus métodos, lo que resalta la necesidad de una vigilancia constante y la adaptación de las estrategias de defensa.