کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی خانواده جدیدی از باجافزار با نام Reynolds خبر دادهاند که با بهرهگیری از تکنیک Bring Your Own Vulnerable Driver (BYOVD)، راهکارهای امنیتی را پیش از رمزگذاری دادهها غیرفعال میکند.
به گزارش کمیته رکن چهارم، در این نمونه، مؤلفه فرار از دفاع بهصورت جداگانه مستقر نمیشود، بلکه درایور آسیبپذیر مستقیماً درون بار مخرب باجافزار بستهبندی شده است. این رویکرد باعث میشود مهاجمان بدون نیاز به اجرای ابزار اضافی، محصولات امنیتی را از کار بیندازند و عملیات رمزگذاری را با حداقل هشدار انجام دهند.
بر اساس تحلیل تیمهای Threat Hunter، باجافزار Reynolds از درایور قانونی اما آسیبپذیر NSecKrnl سوءاستفاده میکند. این درایور دارای نقص امنیتی با شناسه CVE-2025-68947 است که امکان خاتمه دادن به فرایندهای دلخواه را فراهم میکند. مهاجمان از این قابلیت برای متوقف کردن طیف گستردهای از محصولات امنیتی از جمله Avast، CrowdStrike Falcon، Cortex XDR، Sophos و Symantec Endpoint Protection استفاده میکنند.
کارشناسان امنیتی تأکید کردهاند که اگرچه تکنیک BYOVD پیشتر توسط گروههایی مانند Ryuk و برخی خانوادههای دیگر استفاده شده بود، اما ادغام مستقیم این قابلیت در خود باجافزار، سطح پیچیدگی و کارایی حمله را افزایش میدهد. این یکپارچهسازی موجب کاهش ردپای عملیاتی و دشوارتر شدن شناسایی در مراحل اولیه نفوذ میشود.
گزارشها نشان میدهد پیش از اجرای باجافزار، یک لودر مشکوک در شبکه هدف مشاهده شده و پس از آن نیز ابزار دسترسی از راه دور برای حفظ ماندگاری مستقر شده است؛ موضوعی که نشاندهنده برنامهریزی چندمرحلهای حمله است.
این کشف همزمان با روند رو به رشد حملات BYOVD در اکوسیستم باجافزار منتشر شده است. در ماههای اخیر، گروههای مختلفی از درایورهای امضاشده اما آسیبپذیر برای دور زدن EDR و غیرفعالسازی راهکارهای امنیتی استفاده کردهاند. همچنین نسخههای جدیدی از باجافزارها با قابلیتهای پیشرفتهتر از جمله اجرای در حافظه، الگوریتمهای رمزگذاری قدرتمند و تکنیکهای ضدتحلیل منتشر شدهاند.
دادههای آماری منتشرشده نشان میدهد حملات باجافزاری در سال ۲۰۲۵ همچنان در سطح بالا باقی مانده و میانگین مبالغ پرداختی نیز افزایش قابلتوجهی داشته است. کارشناسان هشدار میدهند که ترکیب سرقت داده، اخاذی و رمزگذاری همچنان مدل غالب درآمدزایی در این حوزه باقی خواهد ماند.
در مجموع، ظهور Reynolds نشان میدهد مهاجمان بهجای تمرکز بر آسیبپذیریهای پیچیده، با سوءاستفاده از درایورهای قانونی و ابزارهای موجود، به دنبال افزایش اثربخشی و مقیاس حملات خود هستند.
