Byovd

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova família de ransomware chamada Reynolds, que incorpora um componente de ‘bring your own vulnerable driver’ (BYOVD) para evadir defesas. O BYOVD é uma técnica que explora drivers legítimos, mas vulneráveis, para escalar privilégios e desativar soluções de Detecção e Resposta de Endpoint (EDR), permitindo que atividades maliciosas passem despercebidas. Neste caso, o ransomware inclui um driver vulnerável da NsecSoft, que é utilizado para encerrar processos de programas de segurança como Avast e Symantec. Essa abordagem não é nova, tendo sido observada em ataques anteriores, como o Ryuk em 2020. Além disso, a campanha Reynolds também utilizou um loader suspeito semanas antes do ransomware ser implantado, e um programa de acesso remoto foi instalado um dia após a infecção. A técnica BYOVD é popular entre atacantes devido à sua eficácia e ao uso de arquivos legítimos, que não levantam suspeitas. O aumento da atividade de ransomware, com 4.737 ataques registrados em 2025, destaca a necessidade de vigilância constante e atualização das defesas de segurança.

Pesquisadores da Huntress identificaram um novo ataque cibernético que utiliza um driver de kernel legítimo, mas revogado, do EnCase para criar uma ferramenta maliciosa conhecida como EDR killer. Essa ferramenta é projetada para desativar soluções de detecção e resposta em endpoints (EDR) e outros softwares de segurança, utilizando a técnica ‘Bring Your Own Vulnerable Driver’ (BYOVD). O ataque começou com a violação de uma rede através de credenciais comprometidas do SonicWall SSL VPN, explorando a falta de autenticação multifatorial (MFA). Após a invasão, os atacantes realizaram uma varredura interna agressiva e implantaram um executável de 64 bits que abusava do driver ‘EnPortv.sys’, que possui um certificado expirado e revogado, mas ainda é aceito pelo Windows devido a falhas na verificação de certificados. A ferramenta maliciosa consegue desativar 59 processos relacionados a EDR e antivírus, estabelecendo uma persistência resistente a reinicializações. Apesar de a atividade estar relacionada a um possível ataque de ransomware, a ação foi interrompida antes da entrega do payload final. Recomendações de defesa incluem a habilitação de MFA em serviços de acesso remoto e monitoramento de logs do VPN para atividades suspeitas.