HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款名为 Reynolds 的新型勒索软件家族细节，该勒索软件载荷内部直接内嵌了 BYOVD 组件，用于规避防御机制。 BYOVD 是一种攻击技术，指攻击者滥用合法但存在漏洞的驱动软件提升权限，并关闭终端检测与响应（EDR）方案，使恶意行为不被发现。多年来，该手段已被多个勒索软件组织采用。 Symantec 与 Carbon Black 威胁狩猎团队在报告中称：“通常，攻击中的 BYOVD 规避防御组件是独立工具，会在勒索软件载荷部署前先植入系统，用以关闭安全软件。”“但在本次攻击中，存在漏洞的驱动（NsecSoft NSecKrnl 驱动）直接与勒索软件本体捆绑在一起。” 博通网络安全团队指出，这种将规避防御组件与勒索软件载荷捆绑的手法并非首创，2020 年 Ryuk 勒索软件攻击、2025 年 8 月下旬知名度较低的 Obscura 勒索软件攻击事件中均出现过该手段。 在 Reynolds 攻击活动中，该勒索软件会释放存在漏洞的 NsecSoft NSecKrnl 驱动，并终止 Avast、CrowdStrike Falcon、帕洛阿尔托网络 Cortex XDR、Sophos（含 HitmanPro.Alert）、Symantec 终端保护等多款安全软件的相关进程。 值得注意的是，NSecKrnl 驱动存在已知安全漏洞（CVE-2025-68947，CVSS 评分 5.7），可被利用终止任意进程。该驱动已被威胁组织 Silver Fox 用于攻击活动，在投放 ValleyRAT 木马前关闭终端安全工具。 过去一年，该黑客组织曾使用 truesight.sys、amsdk.sys 等多款存在漏洞的合法驱动，通过 BYOVD 攻击解除安全软件防护。 将规避防御与勒索功能整合为单一组件，会加大防护方拦截攻击的难度，同时也让勒索软件附属团伙无需再将该步骤单独加入攻击流程。 Symantec 与 Carbon Black 表示：“本次攻击活动中值得注意的是，在勒索软件部署数周前，目标网络中已出现可疑的侧加载加载器。” 勒索软件部署次日，攻击者还在目标网络中投放了 GotoHTTP 远程访问程序，表明其意图维持对受感染主机的持久访问。 该公司称：“BYOVD 技术高效且依托合法签名文件，不易触发告警，因此深受攻击者青睐。” “将规避防御能力与勒索软件载荷捆绑的优势，也是攻击者采用该方式的原因，在于规避防御程序与勒索软件整合后更‘隐蔽’，无需在受害者网络中释放额外外部文件。” 该发现与近几周多项勒索软件相关动态相吻合： ·     一起大规模钓鱼攻击通过携带 Windows 快捷方式（LNK）附件的邮件运行 PowerShell 代码，下载 Phorpiex 加载器，进而投放 GLOBAL GROUP 勒索软件。该勒索软件的特点是所有恶意行为均在受感染系统本地执行，可适配物理隔离环境。同时该软件不会窃取数据。 ·     WantToCry 组织发起的攻击滥用合法虚拟基础设施管理服务商 ISPsystem 提供的虚拟机，大规模托管并投放恶意载荷。部分主机名已在 LockBit、Qilin、Conti、BlackCat、Ursnif 等多个勒索软件组织，以及 NetSupport RAT、PureRAT、Lampion、Lumma 窃密木马、RedLine 窃密木马等恶意软件活动的基础设施中被发现。 ·     据评估，防弹主机服务商利用 VMmanager 默认 Windows 模板的设计缺陷（每次部署均复用相同静态主机名与系统标识），将 ISPsystem 虚拟机租给其他犯罪组织，用于勒索软件攻击与恶意软件投放。这使得威胁组织可部署数千台主机名相同的虚拟机，加大溯源关停难度。 ·     DragonForce 组织推出 “企业数据审计” 服务，为附属团伙提供勒索敲诈支持，标志着勒索软件运营持续专业化。LevelBlue 公司表示：“该审计服务包含详细风险报告、通话脚本与高管信函等预制沟通材料，以及用于施压谈判的策略指导。” ·     DragonForce 以联盟模式运作，允许附属团伙打造自有品牌，同时依托其体系获取资源与服务。 ·     最新版 LockBit 5.0 勒索软件已被证实采用 ChaCha20 算法对 Windows、Linux、ESXi 环境中的文件与数据加密，一改 LockBit 2.0 与 3.0 使用的 AES 加密方式。此外，新版本新增数据销毁组件、加密前延迟执行选项、进度条加密状态追踪，优化反分析规避检测能力，并强化内存执行以减少磁盘痕迹。 ·     Interlock 勒索软件组织持续攻击英美机构，尤以教育行业为目标，其中一起攻击利用游戏反作弊驱动 GameDriverx64.sys 的零日漏洞（CVE-2025-61155，CVSS 评分 5.5），通过 BYOVD 技术关闭安全工具。该攻击还会部署 NodeSnake/Interlock 远程访问木马（又称 CORNFLAKE）窃取敏感数据，初始入侵途径为 MintLoader 感染。 勒索软件组织正逐步将目标从传统本地设备转向云存储服务，尤其是亚马逊云（AWS）配置不当的 S3 存储桶，攻击依托云原生功能删除、覆盖数据，暂停权限或窃取敏感内容，同时隐蔽作案。 据 Cyble 公司数据，GLOBAL GROUP 是 2025 年涌现的众多勒索软件组织之一，其余包括 Devman、DireWolf、NOVA、J group、Warlock、BEAST、Sinobi、NightSpire、The Gentlemen。ReliaQuest 数据显示，仅 2025 年第四季度，Sinobi 数据泄露网站公示数量增长 306%，成为仅次于 Qilin 与 Akira 的第三大活跃勒索软件组织。 研究员 Gautham Ashok 称：“与此同时，LockBit 5.0 卷土重来是第四季度最大变化之一，年末攻击量激增，该组织仅 12 月就公示了 110 家受害机构。”“这表明该组织可快速扩大攻击规模，将入侵转化为实质影响，并维持规模化附属团伙运作体系。” 新兴组织涌现与现有团伙合作结盟，共同推动勒索软件活动激增。2025 年勒索软件组织宣称实施 4737 起攻击，高于 2024 年的 4701 起。同期，仅窃取数据施压、不执行加密的攻击数量达 6182 起，较 2024 年增长 23%。 Coveware 在上周季度报告中称，2025 年第四季度平均赎金支付额为 591,988 美元，较第三季度暴涨 57%，主因是少数 “高额和解案”。该公司补充称，威胁组织可能回归 “数据加密” 本源，以更有效施压受害者支付赎金。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文