Los investigadores de ciberseguridad han revelado detalles de una familia emergente de ransomware denominada Reynolds que viene integrado con un componente Bring Your Own Vulnerable Driver (BYOVD) integrado para fines de evasión defensiva dentro de la propia carga útil del ransomware.

BYOVD se refiere a un técnica adversarial que abusa de un software de controlador legítimo pero defectuoso para aumentar los privilegios e inhabilitar las soluciones de detección y respuesta de puntos finales (EDR), de modo que las actividades maliciosas pasen desapercibidas. La estrategia ha sido adoptada por muchos grupos de ransomware a lo largo de los años.

«Normalmente, el componente de evasión defensiva de BYOVD de un ataque implicaría una herramienta distinta que se implementaría en el sistema antes de la carga útil del ransomware para deshabilitar el software de seguridad», dijeron el equipo de Symantec y Carbon Black Threat Hunter dijo en un informe compartido con The Hacker News. «Sin embargo, en este ataque, el controlador vulnerable (un controlador NSeckrnl de NSecsoft) estaba incluido con el propio ransomware».

Los equipos de ciberseguridad de Broadcom señalaron que esta táctica de incluir un componente de evasión defensiva dentro de la carga útil del ransomware no es novedosa y que se ha observado en un Ataque de ransomware Ryuk en 2020 y en un incidente que involucró a una familia de ransomware menos conocida llamada Obscura a finales de agosto de 2025.

En la campaña de Reynolds, el ransomware está diseñado para eliminar un controlador NSeckrNL vulnerable de NSecSoft y terminar los procesos asociados con varios programas de seguridad de Avast, CrowdStrike Falcon, Palo Alto Networks Cortex XDR, Sophos (junto con HitmanPro.Alert) y Symantec Endpoint Protection, entre otros.

Vale la pena señalar que el controlador NSeckrnl es susceptible a una falla de seguridad conocida ( CVE-2025-68947 , puntuación CVSS: 5.7) que podría aprovecharse para terminar procesos arbitrarios. Cabe destacar que el conductor ha sido poner en uso por parte de un actor de amenazas conocido como Silver Fox en ataques diseñados para acabar con las herramientas de seguridad de los terminales antes de entregarlas Rata del valle .

adsense

Durante el año pasado, el grupo de hackers utilizó anteriormente varios controladores legítimos pero defectuosos, entre ellos truesight.sys y amsdk.sys — como parte de los ataques de BYOVD para desarmar los programas de seguridad.

Al reunir las capacidades de evasión defensiva y ransomware en un solo componente, a los defensores les resulta más difícil detener el ataque, sin mencionar que se evita la necesidad de que un afiliado incorpore este paso por separado en su modus operandi.

«También cabe destacar en esta campaña de ataque la presencia de un cargador sospechoso de carga lateral en la red del objetivo varias semanas antes de que se desplegara el ransomware», afirman Symantec y Carbon Black. «También cabe destacar en esta campaña de ataque la presencia de un dispositivo sospechoso de carga lateral en la red del objetivo varias semanas antes de que se desplegara el ransomware».

Otra herramienta implementada en la red objetivo un día después del despliegue del ransomware fue el programa de acceso remoto GoToHTTP, lo que indica que los atacantes podrían estar buscando mantener un acceso persistente a los hosts comprometidos.

«BYOVD es popular entre los atacantes debido a su eficacia y a su dependencia de archivos legítimos y firmados, que tienen menos probabilidades de generar señales de alerta», afirma la empresa.

«Las ventajas de combinar la capacidad de evasión defensiva con la carga útil del ransomware, y la razón por la que los actores del ransomware podrían hacerlo, pueden incluir el hecho de que, al empaquetar el binario de evasión de la defensa y la carga útil del ransomware juntos, es «más silencioso», ya que no se coloca ningún archivo externo independiente en la red de la víctima».

El hallazgo coincide con varios desarrollos relacionados con el ransomware en las últimas semanas -

  • UN campaña de suplantación de identidad de gran volumen ha utilizado correos electrónicos con adjuntos de acceso directo de Windows (LNK) para ejecutar código de PowerShell que obtiene un Phorpiex gotero, que luego se usa para entregar el GRUPO GLOBAL ransomware. El ransomware se caracteriza por llevar a cabo toda la actividad de forma local en el sistema infectado, lo que lo hace compatible con entornos aislados. Además, no realiza ninguna filtración de datos.
  • Ataques organizados por Quiero llorar tener abusado máquinas virtuales (VM) aprovisionadas por ISPSystem, un proveedor legítimo de administración de infraestructuras virtuales, para alojar y entregar cargas maliciosas a escala. Algunos de los nombres de host se han identificado en la infraestructura de varios operadores de ransomware, como LockBit, Qilin, Conti, BlackCat y Ursnif, así como en varias campañas de malware en las que participaron NetSupport RAT, PureRAT, Lampion, Lumma Stealer y RedLine Stealer.
  • Se ha determinado que los proveedores de alojamiento infalibles están alquilando máquinas virtuales del sistema ISP a otros actores delictivos para que las usen en operaciones de ransomware y entrega de malware, aprovechando una debilidad de diseño en las plantillas predeterminadas de Windows de VMManager, que reutilizan el mismo nombre de host e identificadores de sistema estáticos cada vez que se implementan. Esto, a su vez, permite a los atacantes configurar miles de máquinas virtuales con el mismo nombre de host, lo que complica las tareas de eliminación.
  • Fuerza del dragón ha creado un servicio de «auditoría de datos empresariales» para ayudar a los afiliados durante campañas de extorsión como parte de la continua profesionalización de las operaciones de ransomware. «La auditoría incluye un informe de riesgo detallado, materiales de comunicación preparados, como guiones de llamadas y cartas a nivel ejecutivo, y una orientación estratégica diseñada para influir en las negociaciones», dijo LevelBlue dijo . DragonForce opera como un cártel que permite a los afiliados crear sus propias marcas mientras operan bajo su paraguas y obtienen acceso a sus recursos y servicios.
  • La última versión de LockBit, LockBit 5.0 , ha sido encontrado usar ChaCha20 para cifrar archivos y datos en escaparates , Linux , y ESXi entornos, un cambio con respecto al enfoque de cifrado basado en AES de LockBit 2.0 y LockBit 3.0. Además, la nueva versión incluye un componente de borrado, una opción para retrasar la ejecución antes del cifrado, rastrear el estado del cifrado mediante una barra de progreso, técnicas de antianálisis mejoradas para evitar la detección y una ejecución en memoria mejorada para minimizar los rastros de disco.
  • El Grupo de ransomware Interlock ha seguido atacando a organizaciones con sede en el Reino Unido y los Estados Unidos, particularmente en el sector educativo, en un caso apalancamiento una vulnerabilidad de día cero en el controlador antitrampas para juegos "GameDriverx64.sys" ( CVE-2025-61155 , puntuación CVSS: 5.5) para deshabilitar las herramientas de seguridad en un ataque BYOVD. El ataque también se caracteriza por el despliegue de NodeSnake/Interlock RAT (también conocido como COPOS DE MAÍZ ) para robar datos confidenciales, mientras que se dice que el acceso inicial se originó en un Cargador de menta infección.
  • Los operadores de ransomware han sido observado están pasando cada vez más de centrarse en los objetivos locales tradicionales a los servicios de almacenamiento en la nube, especialmente en los cubos S3 mal configurados utilizados por Amazon Web Services (AWS), y los ataques se basan en las funciones nativas de la nube para eliminar o sobrescribir datos, suspender el acceso o extraer contenido confidencial y, al mismo tiempo, pasar desapercibidos.
enlaces

Según datos de Cyble, GLOBAL GROUP es uno de los muchos equipos de ransomware que surgió en 2025, siendo los otros Devman, DireWolf, NOVA, J group, Warlock, BEAST, Sinobi, NightSpire y The Gentlemen. Solo en el cuarto trimestre de 2025, las listas de sitios de filtración de datos de Sinobi aumentaron un 306%, lo que lo convirtió en el tercer grupo de ransomware más activo después de Qilin y Akira, según ReliaQuest.

«Mientras tanto, el regreso de LockBit 5.0 fue uno de los cambios más importantes del cuarto trimestre, impulsado por un repunte a finales del trimestre, que hizo que el grupo incluyera 110 organizaciones solo en diciembre», dijo el investigador Gautham Ashok dijo . «Este resultado indica que un grupo puede escalar la ejecución rápidamente, convertir las intrusiones en impactos y mantener una cartera de afiliados capaz de operar a gran escala».

La aparición de nuevos actores, combinada con las asociaciones forjadas entre los grupos existentes, ha provocado un aumento en la actividad del ransomware. Actores del ransomware reclamado un total de 4.737 ataques durante 2025, frente a los 4.701 de 2024. El número de ataques que no implican el cifrado y que, en cambio, se basan exclusivamente en el robo de datos para ejercer presión alcanzó los 6.182 durante el mismo período, un 23% más que en 2024.

En cuanto al pago promedio de un rescate, la cifra se situó en 591.988 dólares en el cuarto trimestre de 2025, lo que representa un aumento del 57% con respecto al tercer trimestre de 2025, debido a un pequeño número de «acuerdos desmesurados», según Coveware dijo en su informe trimestral de la semana pasada, añadió que los actores de amenazas podrían volver a sus «raíces de cifrado de datos» para aprovechar de manera más eficaz la obtención de rescates a las víctimas.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.