Detectan ransomware Reynolds que integra driver vulnerable para evadir defensas de seguridad
El ecosistema del ransomware sigue evolucionando… y la nueva familia Reynolds es una muestra clara de hacia dónde se dirigen los ataques modernos.
Investigadores en ciberseguridad han revelado que este ransomware incorpora directamente dentro de su payload una técnica conocida como BYOVD (Bring Your Own Vulnerable Driver). En pocas palabras: ya no solo cifran tus datos, primero se aseguran de dejar ciegas a tus herramientas de seguridad.
Cuando el ransomware desactiva tu defensa antes de atacar
El BYOVD consiste en aprovechar drivers legítimos pero vulnerables para escalar privilegios y deshabilitar soluciones de protección sin levantar alertas.
Tradicionalmente, este paso se realizaba con herramientas separadas antes del despliegue del ransomware. Reynolds cambia las reglas del juego: ahora incluye dentro del propio malware el driver vulnerable NsecSoft NSecKrnl.
¿El resultado?
Puede detener procesos de múltiples soluciones de seguridad, incluyendo:
Avast
CrowdStrike Falcon
Palo Alto Cortex XDR
Sophos
Symantec Endpoint Protection
Todo esto gracias a una vulnerabilidad conocida (CVE-2025-68947) que permite terminar procesos arbitrarios. Este mismo fallo ya había sido utilizado por el grupo Silver Fox para desactivar defensas antes de desplegar ValleyRAT.
Un ataque en varias fases, cuidadosamente diseñado
El ransomware no llega solo. La campaña Reynolds muestra señales claras de una operación en múltiples etapas:
Actividad previa con un loader sospechoso
Despliegue del ransomware con el driver vulnerable integrado
Uso de GotoHTTP para mantener acceso persistente a los sistemas comprometidos
Este enfoque demuestra una planificación mucho más estructurada y profesional.
Una táctica conocida… pero ahora optimizada
Incluir drivers vulnerables no es completamente nuevo. Familias como Ryuk (2020) y Obscura (2025) ya habían experimentado con esta técnica.
La diferencia es clave:
Reynolds fusiona evasión + ransomware en un solo componente, reduciendo fricción operativa y disminuyendo la probabilidad de detección.
Es un paso natural hacia ataques más simples para el atacante… y más complejos para el defensor.
El ransomware sigue profesionalizándose
El caso Reynolds no ocurre en aislamiento. Forma parte de una tendencia más amplia:
Campañas de phishing con adjuntos maliciosos que distribuyen malware como GLOBAL GROUP
Uso de infraestructura virtual para alojar payloads maliciosos
Modelos de negocio cada vez más sofisticados en la extorsión digital
Un ejemplo claro es DragonForce, que ya ofrece servicios especializados para afiliados, consolidando el modelo RaaS (Ransomware-as-a-Service).
Nuevos actores y viejos conocidos
Mientras tanto, otros grupos continúan evolucionando:
LockBit 5.0 introduce nuevos algoritmos de cifrado y técnicas anti-análisis.
Interlock mantiene actividad explotando vulnerabilidades zero-day para desactivar controles de seguridad.
El mensaje es claro: el ransomware no solo crece en número, sino en sofisticación.
Un problema que no deja de crecer
Durante el último trimestre de 2025, los rescates promedio aumentaron y las campañas combinan cada vez más robo de datos + extorsión.
Para las empresas, esto implica una realidad incómoda:
la defensa tradicional ya no es suficiente.
Actualizar estrategias de detección, fortalecer la visibilidad del endpoint y asumir que el atacante intentará desactivar tus defensas antes de atacar ya no es paranoia… es la nueva normalidad en ciberseguridad.