Reynolds Ransomware integreert BYOVD-stuurprogramma om EDR-beveiligingstools uit te schakelen

Cyberbeveiliging
Reynolds Ransomware integreert BYOVD-stuurprogramma om EDR-beveiligingstools uit te schakelen

Cybersecurity-onderzoekers hebben details bekendgemaakt van een opkomende ransomware-familie genaamd Reynolds dat is ingebed met een ingebouwde BYOVD-component (Bring your own vulnerability driver) voor het ontwijken van de verdediging binnen de ransomware-payload zelf.

BYOVD verwijst naar een vijandige techniek die misbruik maakt van legitieme maar gebrekkige stuurprogrammasoftware om bevoegdheden te escaleren en Endpoint Detection and Response (EDR)-oplossingen uit te schakelen, zodat kwaadaardige activiteiten onopgemerkt blijven. De strategie is in de loop der jaren door veel ransomwaregroepen overgenomen.

“Normaal gesproken zou de BYOVD-verdedigingsontwijkingscomponent van een aanval een afzonderlijk hulpmiddel omvatten dat op het systeem zou worden ingezet voorafgaand aan de ransomware-payload om beveiligingssoftware uit te schakelen”, aldus het Symantec en Carbon Black Threat Hunter Team in een rapport gedeeld met The Hacker News. “Bij deze aanval werd de kwetsbare driver (een NsecSoft NSecKrnl-driver) echter gebundeld met de ransomware zelf.”

De cyberbeveiligingsteams van Broadcom merkten op dat deze tactiek van het bundelen van een defensie-ontwijkingscomponent binnen de ransomware-payload niet nieuw is, en dat deze is waargenomen bij een Ryuk-ransomware-aanval in 2020 en bij een incident waarbij een minder bekende ransomware-familie genaamd Obscura eind augustus 2025 betrokken was.

In de Reynolds-campagne is de ransomware ontworpen om een ​​kwetsbaar NsecSoft NSecKrnl-stuurprogramma te verwijderen en processen te beëindigen die zijn gekoppeld aan verschillende beveiligingsprogramma’s van onder meer Avast, CrowdStrike Falcon, Palo Alto Networks Cortex XDR, Sophos (samen met HitmanPro.Alert) en Symantec Endpoint Protection.

Het is vermeldenswaard dat het NSecKrnl-stuurprogramma gevoelig is voor een bekende beveiligingsfout (CVE-2025-68947, CVSS-score: 5,7) die kan worden misbruikt om willekeurige processen te beëindigen. De driver is met name gebruikt door een bedreigingsacteur die bekend staat als Silver Fox bij aanvallen die zijn ontworpen om endpoint-beveiligingstools te vernietigen voordat ValleyRAT wordt geleverd.

Het afgelopen jaar heeft de hackgroep eerder gebruik gemaakt van meerdere legitieme maar gebrekkige stuurprogramma’s – waaronder truesight.sys en amsdk.sys – als onderdeel van BYOVD-aanvallen om beveiligingsprogramma’s uit te schakelen.

Door de mogelijkheden voor verdedigingsontduiking en ransomware in één component samen te brengen, wordt het voor verdedigers moeilijker om de aanval te stoppen, om nog maar te zwijgen van de noodzaak voor een aangesloten partner om deze stap afzonderlijk in hun modus operandi op te nemen.

“Ook opmerkelijk in deze aanvalscampagne was de aanwezigheid van een verdachte side-loader op het netwerk van het doelwit, enkele weken voordat de ransomware werd ingezet”, aldus Symantec en Carbon Black. “Ook opmerkelijk in deze aanvalscampagne was de aanwezigheid van een verdachte side-loader op het netwerk van het doelwit, enkele weken voordat de ransomware werd ingezet.”

Een ander hulpmiddel dat een dag na de ransomware-implementatie op het doelnetwerk werd ingezet, was het GotoHTTP-programma voor externe toegang, wat aangeeft dat de aanvallers mogelijk permanente toegang tot de getroffen hosts willen behouden.

“BYOVD is populair bij aanvallers vanwege de effectiviteit en de afhankelijkheid van legitieme, ondertekende bestanden, die minder snel alarmsignalen veroorzaken”, aldus het bedrijf.

“De voordelen van het combineren van de verdedigingsontduikingscapaciteit met de ransomware-payload, en de reden dat ransomware-actoren dit zouden kunnen doen, kunnen het feit zijn dat het combineren van het binaire verdedigingsontwijkingsbestand en de ransomware-payload “stiller” is, zonder dat er een apart extern bestand op het slachtoffernetwerk wordt gedropt.

De bevinding valt samen met verschillende ransomware-gerelateerde ontwikkelingen van de afgelopen weken:

  • Een grootschalige phishing-campagne heeft e-mails met Windows-snelkoppelingen (LNK) gebruikt om PowerShell-code uit te voeren die een Phorpiex-dropper ophaalt, die vervolgens wordt gebruikt om de GLOBAL GROUP-ransomware af te leveren. Kenmerkend voor de ransomware is dat hij alle activiteiten lokaal op het aangetaste systeem uitvoert, waardoor deze compatibel is met air-gapped omgevingen. Er wordt ook geen data-exfiltratie uitgevoerd.
  • Aanvallen van WantToCry hebben misbruik gemaakt van virtuele machines (VM’s) die zijn ingericht door ISPsystem, een legitieme aanbieder van virtueel infrastructuurbeheer, om kwaadaardige payloads op schaal te hosten en af ​​te leveren. Sommige hostnamen zijn geïdentificeerd in de infrastructuur van meerdere ransomware-operators, waaronder LockBit, Qilin, Conti, BlackCat en Ursnif, evenals in verschillende malwarecampagnes waarbij NetSupport RAT, PureRAT, Lampion, Lumma Stealer en RedLine Stealer betrokken zijn.
  • Er wordt vastgesteld dat bulletproof-hostingproviders virtuele machines van het ISP-systeem leasen aan andere criminele actoren voor gebruik bij ransomware-operaties en het leveren van malware. Dit doen ze door gebruik te maken van een ontwerpzwakte in de standaard Windows-sjablonen van VMmanager, die telkens dezelfde statische hostnaam en systeem-ID’s hergebruiken. Hierdoor kunnen bedreigingsactoren duizenden VM’s met dezelfde hostnaam opzetten, wat de verwijderingsinspanningen bemoeilijkt.
  • DragonForce heeft een dienst “Bedrijfsgegevensaudit” gecreëerd om aangesloten bedrijven te ondersteunen tijdens afpersingscampagnes als onderdeel van de voortdurende professionalisering van ransomware-operaties. “De audit omvat een gedetailleerd risicorapport, opgesteld communicatiemateriaal, zoals oproepscripts en brieven op directieniveau, en strategische begeleiding die is ontworpen om de onderhandelingen te beïnvloeden”, aldus LevelBlue. DragonForce opereert als een kartel dat aangesloten bedrijven in staat stelt hun eigen merken te creëren terwijl ze onder de paraplu opereren en toegang krijgen tot de middelen en diensten van het bedrijf.
  • De nieuwste versie van LockBit, LockBit 5.0, blijkt ChaCha20 te gebruiken om bestanden en gegevens in Windows-, Linux- en ESXi-omgevingen te versleutelen, een verschuiving ten opzichte van de op AES gebaseerde versleutelingsaanpak in LockBit 2.0 en LockBit 3.0. Bovendien beschikt de nieuwe versie over een wiper-component, een optie om de uitvoering uit te stellen voorafgaand aan de codering, de status van de codering te volgen met behulp van een voortgangsbalk, verbeterde anti-analysetechnieken om detectie te omzeilen en een verbeterde uitvoering in het geheugen om schijfsporen te minimaliseren.
  • De Interlock-ransomwaregroep heeft zijn aanval op Britse en Amerikaanse organisaties voortgezet, met name in de onderwijssector, waarbij in één geval gebruik werd gemaakt van een zero-day-kwetsbaarheid in de gaming-anti-cheatdriver “GameDriverx64.sys” (CVE-2025-61155, CVSS-score: 5,5) om beveiligingstools uit te schakelen bij een BYOVD-aanval. De aanval wordt ook gekenmerkt door de inzet van NodeSnake/Interlock RAT (ook bekend als CORNFLAKE) om gevoelige gegevens te stelen, terwijl de initiële toegang afkomstig zou zijn van een MintLoader-infectie.
  • Er is waargenomen dat exploitanten van ransomware hun focus steeds meer verleggen van traditionele lokale doelen naar cloudopslagdiensten, met name verkeerd geconfigureerde S3-buckets die worden gebruikt door Amazon Web Services (AWS), waarbij de aanvallen leunen op native cloudfuncties om gegevens te verwijderen of te overschrijven, de toegang op te schorten of gevoelige inhoud te extraheren, terwijl ze tegelijkertijd onder de radar blijven.

Volgens gegevens van Cyble is GLOBAL GROUP een van de vele ransomware-teams die in 2025 zijn ontstaan. De andere zijn Devman, DireWolf, NOVA, J group, Warlock, BEAST, Sinobi, NightSpire en The Gentlemen. Alleen al in het vierde kwartaal van 2025 steeg het aantal datalekkensites van Sinobi met 306%, waardoor het volgens ReliaQuest de derde meest actieve ransomwaregroep is, na Qilin en Akira.

“Ondertussen was de terugkeer van LockBit 5.0 een van de grootste verschuivingen in het vierde kwartaal, gedreven door een piek aan het einde van het kwartaal, waarbij de groep alleen al in december 110 organisaties op de lijst zette”, aldus onderzoeker Gautham Ashok. “Deze output signaleert een groep die de uitvoering snel kan opschalen, inbreuken kan omzetten in impact en een aangesloten pijplijn in stand kan houden die op volume kan opereren.”

De opkomst van nieuwe spelers, gecombineerd met partnerschappen tussen bestaande groepen, heeft geleid tot een piek in de ransomware-activiteit. Ransomware-actoren claimden in 2025 in totaal 4.737 aanvallen, tegen 4.701 in 2024. Het aantal aanvallen waarbij geen sprake is van encryptie en in plaats daarvan uitsluitend afhankelijk is van gegevensdiefstal als middel om druk uit te oefenen, bereikte in dezelfde periode 6.182, een stijging van 23% ten opzichte van 2024.

Wat de gemiddelde betaling van losgeld betreft, bedroeg dit cijfer $591.988 in het vierde kwartaal van 2025, een stijging van 57% ten opzichte van het derde kwartaal van 2025, gedreven door een klein aantal ‘buitenmaatse nederzettingen’, zei Coveware vorige week in zijn kwartaalrapport. Bedreigingsactoren zouden kunnen terugkeren naar hun ‘data-encryptiewortels’ voor een effectievere hefboomwerking om losgeld van slachtoffers af te dwingen.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google Pixel 10 versus Google Pixel 8

Meta- en Google Face-proefversie over verslavende ‘casino-achtige’ sociale apps

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]