Nueva familia de ransomware Reynolds utiliza técnica BYOVD para evadir defensas y desactivar EDR

Introducción

En los últimos meses, la sofisticación de los ataques de ransomware ha experimentado un salto cualitativo con la aparición de técnicas avanzadas de evasión. Un reciente hallazgo realizado por investigadores en ciberseguridad ha sacado a la luz a Reynolds, una nueva familia de ransomware que incorpora de forma nativa el método “Bring Your Own Vulnerable Driver” (BYOVD) en su carga útil. Este enfoque eleva significativamente el nivel de amenaza, permitiendo a los atacantes sortear mecanismos avanzados de protección en endpoints y complicando la respuesta y contención de incidentes en entornos empresariales.

Contexto del Incidente o Vulnerabilidad

El ransomware Reynolds fue identificado en campañas activas a finales del primer trimestre de 2024, afectando principalmente a organizaciones en entornos Windows. La característica que lo distingue del resto del panorama de amenazas es la integración de un driver vulnerable legítimo dentro del propio ejecutable del ransomware. El vector BYOVD, aunque conocido desde hace años, se ha popularizado recientemente gracias a la proliferación de kits de explotación y el acceso a bases de datos públicas de drivers vulnerables.

A diferencia de variantes tradicionales que requieren la descarga o instalación externa del driver malicioso, Reynolds lo transporta embebido en su binario, lo que reduce la exposición y dificulta el bloqueo proactivo por parte de soluciones EDR (Endpoint Detection and Response) y antivirus convencionales.

Detalles Técnicos: CVE, vectores de ataque y TTPs

El análisis forense revela que Reynolds utiliza drivers con fallos de seguridad documentados, como el ampliamente explotado CVE-2019-16098, presente en el driver “RTCore64.sys” de MSI Afterburner. El proceso de ataque sigue las siguientes fases, alineadas con el framework MITRE ATT&CK:

– **Initial Access (TA0001):** Infección a través de phishing dirigido o mediante la explotación de vulnerabilidades en servicios expuestos (por ejemplo, RDP).
– **Execution (TA0002):** Despliegue del ransomware, que descomprime internamente el driver vulnerable.
– **Defense Evasion (TA0005):** Utilizando el driver, el malware ejecuta instrucciones privilegiadas para deshabilitar EDR/AV, eliminar hooks y manipular el kernel.
– **Privilege Escalation (TA0004):** El driver vulnerable otorga acceso a operaciones en modo kernel.
– **Impact (TA0040):** Cifrado de datos y despliegue de notas de rescate.

Los investigadores han detectado que Reynolds incorpora un módulo de detección de entornos sandbox y máquinas virtuales para evitar su análisis. Además, utiliza técnicas anti-debugging y elude mecanismos de control de integridad (Control Flow Guard, Secure Boot).

Entre los Indicadores de Compromiso (IoC) identificados destacan hashes únicos de la muestra de ransomware, rutas de instalación del driver y patrones de comunicación con servidores de comando y control (C2) a través de HTTPs ofuscado.

Impacto y Riesgos

El uso de BYOVD en Reynolds plantea un desafío crítico para los equipos de seguridad. Según estimaciones, más del 37% de los endpoints empresariales ejecutan drivers potencialmente vulnerables, según datos de la propia Microsoft. Este vector permite la desactivación de la mayoría de EDR comerciales, incluido Microsoft Defender for Endpoint, CrowdStrike Falcon y SentinelOne, al operar en modo kernel.

Se han documentado casos en los que Reynolds ha conseguido cifrar datos críticos de organizaciones del sector financiero y manufacturero, provocando pérdidas de productividad y extorsiones que superan los 2 millones de euros por incidente. La ausencia de detección temprana compromete la capacidad de respuesta y recuperación, exponiendo a las empresas a sanciones por incumplimiento del RGPD y la inminente directiva NIS2.

Medidas de Mitigación y Recomendaciones

Los expertos recomiendan adoptar una estrategia defensiva en profundidad, con especial atención a:

– Inventariado y actualización de drivers: eliminar o sustituir versiones vulnerables, especialmente aquellas documentadas en bases de datos públicas como la de la CISA.
– Refuerzo de políticas de control de aplicaciones (AppLocker, WDAC) para bloquear la carga de drivers no firmados o no autorizados.
– Implementación de seguridad a nivel de kernel mediante virtualización (VBS, HVCI).
– Monitorización activa de eventos de instalación de drivers y cambios en el registro relacionados.
– Simulación de ataques BYOVD en ejercicios de Red Team usando frameworks como Metasploit o Cobalt Strike para validar controles de seguridad.

Opinión de Expertos

Antonio Ramírez, CISO de una multinacional tecnológica, destaca: “La técnica BYOVD representa una amenaza creciente, ya que explota la confianza inherente del sistema operativo en drivers legítimos. La detección proactiva y la eliminación de estos componentes vulnerables es ahora una obligación para los equipos de seguridad.”

Por su parte, Marta García, analista de amenazas en un centro SOC, advierte: “El ransomware Reynolds demuestra que los atacantes siguen un proceso de innovación constante, combinando técnicas conocidas con nuevas variantes para maximizar el impacto y evadir defensas automatizadas.”

Implicaciones para Empresas y Usuarios

La aparición de Reynolds resalta la importancia de mantener una política estricta de gestión de activos y parches. Las empresas deben revisar sus procesos internos de verificación de software y reforzar la formación en ciberseguridad del personal, especialmente en la identificación de intentos de phishing. Asimismo, es crucial actualizar los planes de respuesta a incidentes para contemplar escenarios de evasión avanzada y garantizar la trazabilidad de los eventos a nivel kernel.

Conclusiones

El ransomware Reynolds marca un antes y un después en la evolución de las amenazas dirigidas a empresas, integrando técnicas avanzadas como BYOVD para evadir los controles más robustos. Solo mediante una combinación de monitorización avanzada, actualización proactiva y concienciación será posible mitigar el riesgo que este tipo de amenazas representa para el tejido empresarial y la economía digital.

(Fuente: feeds.feedburner.com)