Investigadores de ciberseguridad han revelado detalles de una clan de ransomware emergente denominada reynolds que viene integrado con un componente integrado de “traiga su propio compensador endeble” (BYOVD) con fines de esparcimiento de defensa adentro de la carga útil del ransomware.
BYOVD se refiere a una técnica adversa que abusa del software de compensador permitido pero defectuoso para prosperar privilegios y deshabilitar las soluciones de detección y respuesta de endpoints (EDR) para que las actividades maliciosas pasen desapercibidas. La táctica ha sido adoptada por muchos grupos de ransomware a lo generoso de los primaveras.
“Normalmente, el componente de esparcimiento de defensa BYOVD de un ataque implicaría una útil distinta que se implementaría en el sistema antaño de la carga útil del ransomware para desactivar el software de seguridad”, dijo Symantec y Carbon Black Threat Hunter Team en un noticia compartido con The Hacker News. “Sin confiscación, en este ataque, el compensador endeble (un compensador NsecSoft NSecKrnl) estaba incluido con el propio ransomware”.
Los equipos de ciberseguridad de Broadcom señalaron que esta táctica de agrupar un componente de esparcimiento de defensa adentro de la carga útil del ransomware no es novedosa y que se observó en un ataque de ransomware Ryuk en 2020 y en un incidente que involucró a una clan de ransomware menos conocida convocatoria Obscura a fines de agosto de 2025.
En la campaña de Reynolds, el ransomware está diseñado para eliminar un compensador NsecSoft NSecKrnl endeble y finalizar procesos asociados con varios programas de seguridad de Avast, CrowdStrike Falcon, Palo Stop Networks Cortex XDR, Sophos (anejo con HitmanPro.Alert) y Symantec Endpoint Protection, entre otros.
Vale la pena señalar que el compensador NSecKrnl es susceptible a una error de seguridad conocida (CVE-2025-68947, puntuación CVSS: 5,7) que podría explotarse para finalizar procesos arbitrarios. En particular, el compensador ha sido utilizado por un actor de amenazas conocido como Silver Fox en ataques diseñados para eliminar las herramientas de seguridad de los terminales antaño de entregar ValleyRAT.
Durante el año pasado, el asociación de piratas informáticos utilizó varios controladores legítimos pero defectuosos, incluidos truesight.sys y amsdk.sys, como parte de ataques BYOVD para desarmar programas de seguridad.
Al reunir las capacidades de esparcimiento de defensa y ransomware en un solo componente, a los defensores les resulta más difícil detener el ataque, sin mencionar la escazes de que un afiliado incorpore este paso por separado en su modus operandi.
“Incluso es de destacar en esta campaña de ataque la presencia de un cargador fronterizo sospechoso en la red del objetivo varias semanas antaño de que se implementara el ransomware”, dijeron Symantec y Carbon Black. “Incluso es de destacar en esta campaña de ataque la presencia de un cargador fronterizo sospechoso en la red del objetivo varias semanas antaño de que se implementara el ransomware”.
Otra útil implementada en la red objetivo un día posteriormente de la implementación del ransomware fue el software de golpe remoto GotoHTTP, lo que indica que los atacantes pueden estar buscando prolongar un golpe persistente a los hosts comprometidos.
“BYOVD es popular entre los atacantes oportuno a su efectividad y dependencia de archivos legítimos firmados, que es menos probable que generen señales de alerta”, dijo la compañía.
“Las ventajas de incluir la capacidad de esparcimiento de defensa con la carga útil del ransomware, y la razón por la que los actores del ransomware podrían hacer esto, pueden incluir el hecho de que empaquetar el binario de esparcimiento de defensa y la carga útil del ransomware juntos es “más silencioso”, sin que se coloque ningún archivo forastero separado en la red de la víctima”.
El hallazgo coincide con varios acontecimientos relacionados con el ransomware en las últimas semanas:
- Una campaña de phishing de gran bombeo ha utilizado correos electrónicos con archivos adjuntos de golpe directo de Windows (LNK) para ejecutar código PowerShell que recupera un cuentagotas Phorpiex, que luego se utiliza para entregar el ransomware GLOBAL GROUP. El ransomware se destaca por admitir a lugar toda la actividad localmente en el sistema comprometido, lo que lo hace compatible con entornos aislados. Siquiera realiza ninguna exfiltración de datos.
- Los ataques organizados por WantToCry han abusado de las máquinas virtuales (VM) proporcionadas por ISPsystem, un proveedor permitido de trámite de infraestructura aparente, para meter y entregar cargas maliciosas a escalera. Algunos de los nombres de host se han identificado en la infraestructura de múltiples operadores de ransomware, incluidos LockBit, Qilin, Conti, BlackCat y Ursnif, así como en varias campañas de malware que involucran a NetSupport RAT, PureRAT, Lampion, Lumma Stealer y RedLine Stealer.
- Se ha evaluado que los proveedores de alojamiento a prueba de balas están alquilando máquinas virtuales ISPsystem a otros actores criminales para su uso en operaciones de ransomware y entrega de malware al explotar una afición de diseño en las plantillas predeterminadas de Windows de VMmanager que reutilizan el mismo nombre de host invariable e identificadores de sistema cada vez que se implementan. Esto, a su vez, permite a los actores de amenazas configurar miles de máquinas virtuales con el mismo nombre de host y complicar los esfuerzos de aniquilación.
- DragonForce ha creado un servicio de “Auditoría de datos de la empresa” para ayudar a los afiliados durante las campañas de perturbación como parte de la profesionalización continua de las operaciones de ransomware. “La auditoría incluye un noticia de peligro detallado, materiales de comunicación preparados, como guiones de llamadas y cartas a nivel ejecutor, y orientación estratégica diseñada para influir en las negociaciones”, dijo LevelBlue. DragonForce opera como un cartel que permite a los afiliados crear sus propias marcas mientras operan bajo su paraguas y obtienen golpe a sus fortuna y servicios.
- Se ha descubierto que la última lectura de LockBit, LockBit 5.0, utiliza ChaCha20 para reducir archivos y datos en entornos Windows, Linux y ESXi, un cambio con respecto al enfoque de oculto basado en AES en LockBit 2.0 y LockBit 3.0. Adicionalmente, la nueva lectura presenta un componente de agilidad, una opción para retrasar la ejecución antaño del oculto, rastrear el estado del oculto mediante una mostrador de progreso, técnicas antianálisis mejoradas para evitar la detección y ejecución mejorada en memoria para minimizar los rastros del disco.
- El asociación de ransomware Interlock ha continuado su ataque a organizaciones con sede en el Reino Unido y EE. UU., particularmente en el sector educativo, en un caso aprovechando una vulnerabilidad de día cero en el compensador anti-trampas de juegos “GameDriverx64.sys” (CVE-2025-61155, puntuación CVSS: 5,5) para desactivar las herramientas de seguridad en un ataque BYOVD. El ataque igualmente se caracteriza por el despliegue de NodeSnake/Interlock RAT (igualmente conocido como CORNFLAKE) para robar datos confidenciales, mientras que se dice que el golpe original se originó a partir de una infección MintLoader.
- Se ha observado que los operadores de ransomware cambian cada vez más su enfoque de los objetivos locales tradicionales a los servicios de almacenamiento en la abundancia, especialmente los depósitos S3 mal configurados utilizados por Amazon Web Services (AWS), y los ataques se basan en funciones nativas de la abundancia para eliminar o sobrescribir datos, suspender el golpe o extraer contenido confidencial, mientras permanecen fuera del radar.
Según datos de Cyble, GLOBAL GROUP es uno de los muchos equipos de ransomware que surgieron en 2025, anejo con Devman, DireWolf, NOVA, J group, Warlock, BEAST, Sinobi, NightSpire y The Gentlemen. Solo en el cuarto trimestre de 2025, los listados de sitios de fuga de datos de Sinobi aumentaron un 306%, lo que lo convierte en el tercer asociación de ransomware más activo posteriormente de Qilin y Akira, según ReliaQuest.
“Mientras tanto, el regreso de LockBit 5.0 fue uno de los mayores cambios del cuarto trimestre, impulsado por un pico al final del trimestre que vio al asociación catalogar 110 organizaciones solo en diciembre”, dijo el investigador Gautham Ashok. “Este resultado señala un asociación que puede prosperar la ejecución rápidamente, convertir las intrusiones en impacto y sostener una cartera de afiliados capaz de negociar a gran bombeo”.
La aparición de nuevos actores, combinada con asociaciones forjadas entre grupos existentes, ha provocado un aumento en la actividad de ransomware. Los actores de ransomware reclamaron un total de 4.737 ataques durante 2025, frente a 4.701 en 2024. La cantidad de ataques que no implican oculto y, en cambio, se basan exclusivamente en el robo de datos como medio para desempeñar presión alcanzó 6.182 durante el mismo período, un aumento del 23% con respecto a 2024.
En cuanto al plazo promedio de rescate, la guarismo se situó en 591.988 dólares en el cuarto trimestre de 2025, un aumento del 57 % con respecto al tercer trimestre de 2025, impulsado por un pequeño número de “acuerdos de gran tamaño”, dijo Coveware en su noticia trimestral de la semana pasada, añadiendo que los actores de amenazas pueden regresar a sus “raíces de oculto de datos” para obtener un apalancamiento más eficaz para extraer rescates de las víctimas.
