サイバーニュース.jp

世界のサイバーなニュースを配信

Reynoldsランサムウェア、BYOVDドライバーを組み込みEDRセキュリティツールを無効化

カテゴリ:

概要:埋め込み型BYOVDで防御を回避するReynoldsランサムウェア

サイバーセキュリティ研究者たちは、「Reynolds」と呼ばれる新たなランサムウェアファミリーに関する詳細を明らかにしました。このランサムウェアは、防御回避のために組み込み型の「Bring Your Own Vulnerable Driver(BYOVD)」コンポーネントを自身のペイロード内に組み込んでいる点が特徴です。

BYOVDは、合法ながら脆弱性を持つドライバーソフトウェアを悪用して特権を昇格させ、Endpoint Detection and Response (EDR) ソリューションを無効化する攻撃手法です。これにより、悪意ある活動が検知されることなく実行されます。

攻撃の仕組み:脆弱なNsecSoft NSecKrnlドライバーの悪用

SymantecおよびCarbon Blackの脅威ハンターチームによると、Reynoldsランサムウェアは、脆弱性を持つNsecSoft NSecKrnlドライバーをドロップし、Avast、CrowdStrike Falcon、Palo Alto Networks Cortex XDR、Sophos(HitmanPro.Alertを含む)、Symantec Endpoint Protectionなど、さまざまなセキュリティプログラムに関連するプロセスを終了させます。

特筆すべきは、このNSecKrnlドライバーが既知のセキュリティ脆弱性「CVE-2025-68947(CVSSスコア:5.7)」の影響を受けやすい点です。この脆弱性は、任意のプロセスを終了させるために悪用される可能性があります。過去には、脅威アクター「Silver Fox」がValleyRATを配信する前にエンドポイントセキュリティツールを無効化するために、このドライバーを悪用した事例も報告されています。

防御回避機能とランサムウェア機能を単一のコンポーネントに統合することで、攻撃の阻止はより困難になり、アフィリエイトが個別にこのステップを攻撃手順に組み込む必要がなくなります。攻撃キャンペーンでは、ランサムウェアが展開される数週間前に疑わしいサイドロード型ローダーがターゲットネットワークに存在し、ランサムウェア展開の翌日にはGotoHTTPリモートアクセスプログラムが展開されていることも確認されており、攻撃者が持続的なアクセスを維持しようとしている可能性が示唆されています。

広がるBYOVD攻撃:他のランサムウェアの動向

BYOVDは、その有効性と、正規に署名されたファイルに依存することで検知されにくいという点で、攻撃者の間で人気を集めています。近年、この手法を取り入れたり、進化するランサムウェア攻撃の傾向が見られます。

  • GLOBAL GROUPランサムウェア:フィッシングキャンペーンを通じてPhorpiexドロッパーが配信され、GLOBAL GROUPランサムウェアが導入されています。このランサムウェアは、エアギャップ環境でも動作し、データ流出を行わない点が特徴です。
  • WantToCryと仮想マシンの悪用:WantToCryは、ISPsystemが提供するVMを悪用し、大規模な悪意あるペイロードのホスティングと配信を行っています。LockBit、Qilin、Conti、BlackCatなどのランサムウェアや、さまざまなマルウェアキャンペーンで利用されていることが確認されています。
  • DragonForceの「Company Data Audit」:DragonForceは、身代金交渉をサポートするための「Company Data Audit」サービスをアフィリエイトに提供し、ランサムウェア運用のプロ化を進めています。
  • LockBit 5.0の登場:LockBitの最新版であるLockBit 5.0は、ChaCha20暗号化、ワイパーコンポーネント、遅延実行オプション、アンチ分析技術の強化、メモリ内実行などの新機能が確認されています。
  • Interlockランサムウェアとゼロデイ:Interlockグループは、英国および米国を拠点とする教育機関を標的とし、「GameDriverx64.sys」ゲーミングアンチチートドライバーのゼロデイ脆弱性(CVE-2025-61155)を利用してBYOVD攻撃を実行しています。
  • クラウドストレージへの焦点シフト:ランサムウェアオペレーターは、従来のオンプレミス環境から、Amazon Web Services (AWS) の誤設定されたS3バケットなどのクラウドストレージサービスへと標的をシフトさせており、クラウドネイティブな機能を利用してデータを削除、上書き、アクセス停止、または機密情報を抽出しています。

2025年のランサムウェア攻撃統計

Cybleのデータによると、2025年にはDevman、DireWolf、NOVA、J group、Warlock、BEAST、Sinobi、NightSpire、The Gentlemenなど、数多くの新しいランサムウェアグループが出現しました。特にSinobiは、2025年第4四半期だけでデータ漏洩サイトの掲載数が306%増加し、QilinとAkiraに次ぐ3番目に活発なランサムウェアグループとなりました。LockBit 5.0の復帰も、同四半期の大きな変化の一つとして挙げられます。

2025年のランサムウェア攻撃総数は4,737件に達し、2024年の4,701件から増加しました。暗号化を伴わず、データ窃盗のみに依存して圧力をかける攻撃は6,182件に上り、2024年から23%増加しています。2025年第4四半期の平均身代金支払額は591,988ドルで、第3四半期から57%急増しており、Covewareは、脅威アクターが被害者から身代金をより効果的に抽出するために「データ暗号化のルーツ」に戻る可能性があると指摘しています。

元記事: https://thehackernews.com/2026/02/reynolds-ransomware-embeds-byovd-driver.html

投稿をさらに読み込む