Investigadores identificaron una nueva familia de ransomware llamada Reynolds ransomware, que utiliza la técnica Bring Your Own Vulnerable Driver (BYOVD) para desactivar herramientas de seguridad antes de iniciar el cifrado de los sistemas.
Inicialmente, analistas de Broadcom atribuyeron la actividad al grupo Black Basta debido a similitudes tácticas. Sin embargo, tras un análisis más profundo, confirmaron que el payload correspondía a una nueva variante: Reynolds.
¿Qué es la técnica BYOVD?
Bring Your Own Vulnerable Driver (BYOVD) es una técnica en la que los atacantes instalan un driver legítimo y firmado digitalmente, pero con vulnerabilidades conocidas.
Debido a que el controlador está firmado y es considerado confiable por el sistema operativo, Windows permite su carga. Una vez activo, los atacantes explotan sus fallas para:
Evadir protecciones a nivel de kernel
Escalar privilegios hasta nivel SYSTEM
Desactivar soluciones EDR y antivirus
Terminar procesos de seguridad
En lugar de explotar una vulnerabilidad nueva, los atacantes reutilizan un driver legítimo con fallos críticos ya documentados.
Cómo opera Reynolds
Reynolds incluye directamente dentro de su payload el driver vulnerable NsecKrnl de NsecSoft, evitando así la necesidad de desplegar herramientas adicionales para desactivar la seguridad.
El malware:
Instala el driver vulnerable.
Crea un servicio para ejecutarlo.
Explota la vulnerabilidad CVE-2025-68947.
Finaliza procesos asociados a múltiples soluciones de seguridad.
Entre las herramientas afectadas se encuentran productos de Sophos, Symantec, Microsoft Defender, CrowdStrike, ESET y Avast.
La vulnerabilidad permite que un atacante autenticado localmente ejecute comandos IOCTL especialmente diseñados para terminar procesos incluso protegidos o ejecutados bajo privilegios SYSTEM.
Fase de cifrado y persistencia
Una vez deshabilitadas las defensas, el ransomware cifra los archivos del sistema y agrega la extensión “.locked”.
Investigadores también detectaron, semanas antes del cifrado, un loader sospechoso cargado lateralmente y la herramienta de acceso remoto GotoHTTP después del ataque. Esto sugiere que los atacantes pudieron mantener acceso persistente antes y después de desplegar el ransomware.
Tendencia creciente en 2026
En 2026, los grupos de ransomware desactivan rutinariamente antivirus y EDR antes de cifrar sistemas. Este paso adicional surgió como respuesta a mejoras en las capacidades de detección temprana de los fabricantes de seguridad.
Actualmente, BYOVD es el método más utilizado para evadir defensas, ya que:
Utiliza drivers legítimos y firmados.
Reduce alertas de seguridad.
Permite una evasión rápida y efectiva.
Entre las herramientas comúnmente usadas en campañas similares se encuentran TrueSightKiller, GhostDriver, AuKill, Poortry, Gmer y Warp AVKiller.
Un modelo más silencioso y competitivo
Este caso genera preocupación porque Reynolds integra directamente el componente de evasión dentro del propio ransomware.
Al combinar ambas capacidades en un solo payload:
Se reducen los pasos del ataque.
Disminuye el tiempo de respuesta de los defensores.
Se limita la posibilidad de detectar un driver malicioso por separado.
Además, este enfoque puede convertirse en un atractivo para afiliados en el ecosistema criminal, ya que simplifica la ejecución de ataques y aumenta la competitividad del ransomware en el mercado clandestino.
La integración de capacidades avanzadas de evasión dentro del propio malware podría marcar una evolución en el diseño de futuras campañas de ransomware.
