Pesquisadores de cibersegurança identificaram uma nova família de ransomware chamada Reynolds, que adota uma abordagem avançada para contornar defesas. O malware incorpora diretamente em seu código um driver vulnerável, técnica conhecida como BYOVD (Bring Your Own Vulnerable Driver), para desativar soluções de segurança antes de iniciar a criptografia dos dados. Ao contrário de ataques tradicionais que instalam o driver separadamente, o Reynolds embute o componente malicioso dentro do próprio executável.
O driver em questão é o NSecKrnl, da NSecSoft, afetado por uma falha grave catalogada como CVE 2025 68947, que permite a interrupção de processos no modo kernel sem verificação adequada de permissões. Essa falha é explorada para encerrar serviços de antivírus e ferramentas EDR (Endpoint Detection and Response), removendo obstáculos que poderiam detectar ou impedir a ação do ransomware. Entre os alvos estão soluções amplamente usadas como CrowdStrike Falcon, Cortex XDR, Symantec Endpoint Protection, Sophos e Avast. Ao utilizar essa técnica diretamente no payload, o Reynolds evita etapas suspeitas como a instalação separada de um driver, o que dificulta a detecção por soluções de segurança e torna o ataque mais rápido e silencioso.
Assim que os processos são encerrados, o ransomware inicia a criptografia dos arquivos sem resistência. Segundo os especialistas, esse método representa uma evolução na tática de evasão, já que a ausência de sinais típicos de preparação reduz o tempo de reação dos defensores. O ataque é executado de forma quase imediata após a infecção, limitando drasticamente a eficácia de respostas automatizadas. A técnica BYOVD não é nova, mas seu uso embutido diretamente no ransomware reforça a tendência de ataques mais sofisticados e autônomos, capazes de comprometer sistemas em poucos minutos sem deixar vestígios claros durante as fases iniciais.
