Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

„Reynolds“ ја вклучува BYOVD техника со ransomware payload

Објавено: 10.02.2026

Истражувачите откриле неодамна објавен ранлив драивер вграден во ransomware на „Reynolds“, што ја илустрира растечката популарност на техниката за избегнување на безбедносни системи.

Нова ransomware група ја применува техниката позната како bring-your-own-vulnerable-driver (BYOVD) на нов начин.

Во извештај објавен во четврток, Symantec и Carbon Black Threat Hunter Team опишуваат неодамнешен напад со интересна појава: ранлив драйвер бил директно вграден во Black Basta ransomware payload. Symantec и Carbon Black го ажурираа извештајот во понеделник врз основа на понатамошна анализа, која откри дека payload-от е од нова ransomware фамилија, наречена „Reynolds“.

Во BYOVD напад, заканувачкиот актер користи ранлив софтверски драйвер со повисоки привилегии и kernel-level пристап до Windows, за да ги прекине безбедносните процеси на таргетираниот систем. Овие драйвери се клучниот елемент на алатките за избегнување на безбедносни системи, познати како EDR killers, и покажале висока ефикасност при олеснување на ransomware инвазиите.

Додека EDR платформите често блокираат обид за ransomware напад, напаѓачите со ранливи драйвери можат едноставно да таргетираат специфични безбедносни производи и да ги исклучат, како што крадец би го оневозможил домашниот безбедносен систем пред да влезе. Ова принудува организациите да воведат дополнителни мерки за заштита, предвидувајќи можност дека нивната EDR платформа може да биде исклучена пред нападот. Таквите мерки можат да вклучуваат користење на различни производи за детекција на малвер, со надеж дека EDR killer не е програмиран да ги прекине тие специфични процеси.

Обично, EDR killers се самостојни алатки, често достапни јавно, кои заканувачите ги поставуваат пред да го достават ransomware payload-от. На пример, партнерите на ransomware користеле EDR killer познат како „AuKill“ за да ги исклучат безбедносните производи пред да распоредат ransomware или backdoors на таргетираниот систем.

Нападот првично беше припишан на Black Basta, кој беше релативно неактивен во последната година по високопрофилното протекување на нивната интерна комуникација. Засега не е јасно дали Reynolds е ре-брендирана група која се одвоила од Black Basta.

Потенцијални придобивки од вградените BYOVD напади

Threat Hunter Team откри ранлив драйвер, NsecSoft NSecKrnl, вграден во Reynolds ransomware. Минатиот месец беше објавена ранливост со средна сериозност во NSecKrnl Windows драйверот, означена како CVE-2025-68947.

Не е јасно кога Reynolds првпат започнал да го оружува и вградува ранливиот драйвер во ransomware payload-овите, но ова е најнов пример за растечката популарност на BYOVD техниката.

„Употребата на техники и алатки за оневозможување значително се зголеми кај ransomware актери во последните две години, најверојатно како одговор на подобрувањата на добавувачите во идентификацијата на модели на злонамерна активност што се случуваат пред распоредување на ransomware,“ се вели во извештајот.

Како и скоро сите EDR killers, NSecKrnl драйверот таргетира процеси на познати добавувачи, вклучувајќи Symantec. Сепак, овој напад се чини дека во одредена мера не успеал.

„Знаеме дека нападот бил барем делумно успешен бидејќи успеале да енкриптираат некои фајлови,“ вели Dick O’Brien, главен аналитичар за разузнавање во Symantec и Carbon Black Threat Hunter Team. „Се чини дека не успеал да го укине нашиот производ бидејќи тој продолжи да функционира по нападот.“

Во врска со причината зошто Reynolds го вградил драйверот и ransomware payload-от во еден пакет, Threat Hunter Team изјави дека тоа може да биде затоа што пуштањето на еден комбиниран фајл наместо два е „тихо“ и го намалува ризикот од откривање.

„Исто така, може да ја забрза атаката ако нема прекин помеѓу распоредувањето на алатката за избегнување на безбедносни системи и пуштањето на ransomware, со што не останува време на одбранбените механизми да го сопрат нападот,“ пишуваат истражувачите. „Во други сценарија, ако одбранбените механизми забележат сомнителен драйвер на системот, можеби ќе имаат време да го сопрат нападот пред да се распредели ransomware-от.“

Тековни предизвици со ранливи драивери

Threat Hunter Team истакна дека BYOVD несомнено е најчестата алатка за избегнување на безбедносни системи користена од ransomware актери. Додека постоеле поединечни случаи кога ransomware групи вградиле некаков компонент за избегнување во нивните payload-ови, истражувачите велат дека не забележале ransomware групи кои вградуваат драивер на ваков начин, што може да ја зголеми популарноста на ваквите техники меѓу заканувачите.

„Имањето дополнителни капацитети вградени во ransomware payload-от може да ги олесни нападите, бидејќи би барале помалку чекори, што го прави таквиот payload поатрактивен за партнерите,“ напишаа истражувачите.

Нападот на Reynolds е најнов пример за опасностите од ранливи и застарени драивери. Минатата недела истражувачите на Huntress опишаа инцидент каде што напаѓачите оружиле драивер за EnCase дигиталната форензичка платформа. Иако сертификатот за драиверот бил поништен пред повеќе од една деценија, заканувачите сепак успеале да ја искористат празнината во Microsoft Driver Signature Enforcement.

O’Brien вели за Dark Reading дека производите на Symantec и Carbon Black ќе блокираат сите познати ранливи драивери. Функцијата Vulnerable Driver Blocklist на Windows Defender исто така ќе ги идентификува и ублажува драиверите кои се користени во злонамерна активност. Но, како што многумина експерти истакнуваат, блок-листите се реактивна мерка која може да спречи понатамошна активност само откако ранлив драйвер веќе бил искористен.

O’Brien вели дека Microsoft треба повеќе да се справи со растечката злоупотреба на драивери, особено бидејќи тие често се потпишани од самиот софтверски гигант. Тој вели дека спречувањето на Windows да ги вчитува драйверите со поништен сертификат би било важен чекор; сепак, како што истражувачите претходно забележале, ваков чекор може негативно да влијае на перформансите на системот и да предизвика падови на апликации.

Dark Reading се обиде да добие коментар од Microsoft, но компанијата не одговори до моментот на објавување.

Извори:

  • DarkReading – ‘Reynolds’ Bundles BYOVD With Ransomware Payload DarkReading