Các nhà nghiên cứu an ninh mạng đã tiết lộ thông tin chi tiết về một họ mã độc tống tiền mới nổi có tên Reynolds, được tích hợp sẵn một thành phần BYOVD (bring your own vulnerable driver) để né tránh phòng thủ ngay trong payload của mã độc.
BYOVD là một kỹ thuật tấn công lạm dụng phần mềm driver hợp pháp nhưng bị lỗi để leo thang đặc quyền và vô hiệu hóa các giải pháp Endpoint Detection and Response (EDR) nhằm che giấu các hoạt động độc hại. Chiến lược này đã được nhiều nhóm ransomware áp dụng trong nhiều năm qua.
"Thông thường, thành phần né tránh phòng thủ BYOVD của một cuộc tấn công sẽ bao gồm một công cụ riêng biệt được triển khai trên hệ thống trước payload ransomware để vô hiệu hóa phần mềm bảo mật," nhóm Symantec và Carbon Black Threat Hunter cho biết trong một báo cáo chia sẻ với The Hacker News. "Tuy nhiên, trong cuộc tấn công này, driver dễ bị tổn thương (một driver NsecSoft NSecKrnl) đã được đóng gói cùng với ransomware."
Các nhóm an ninh mạng của Broadcom lưu ý rằng chiến thuật đóng gói thành phần né tránh phòng thủ trong payload ransomware không phải là mới, và đã được quan sát thấy trong một cuộc tấn công ransomware Ryuk vào năm 2020 và trong một sự cố liên quan đến một họ ransomware ít được biết đến hơn là Obscura vào cuối tháng 8 năm 2025.
Trong chiến dịch Reynolds, ransomware được thiết kế để thả một driver NsecSoft NSecKrnl dễ bị tổn thương và chấm dứt các tiến trình liên quan đến nhiều chương trình bảo mật khác nhau từ Avast, CrowdStrike Falcon, Palo Alto Networks Cortex XDR, Sophos (cùng với HitmanPro.Alert) và Symantec Endpoint Protection, cùng nhiều chương trình khác.
Điều đáng chú ý là driver NSecKrnl dễ bị tổn thương bởi một lỗ hổng bảo mật đã biết (CVE-2025-68947, điểm CVSS: 5.7) có thể bị khai thác để chấm dứt các tiến trình tùy ý. Đáng chú ý, driver này đã được một tác nhân đe dọa được biết đến với tên Silver Fox sử dụng trong các cuộc tấn công nhằm vô hiệu hóa các công cụ bảo mật endpoint trước khi phân phối ValleyRAT.
Trong năm qua, nhóm tin tặc đã từng sử dụng nhiều driver hợp pháp nhưng bị lỗi – bao gồm truesight.sys và amsdk.sys – như một phần của các cuộc tấn công BYOVD để vô hiệu hóa các chương trình bảo mật.
Bằng cách kết hợp khả năng né tránh phòng thủ và ransomware vào một thành phần duy nhất, việc này khiến các nhà phòng thủ khó ngăn chặn cuộc tấn công hơn, chưa kể đến việc loại bỏ nhu cầu một bên liên kết phải tích hợp riêng bước này vào phương thức hoạt động của họ.
"Cũng đáng chú ý trong chiến dịch tấn công này là sự hiện diện của một side-loaded loader đáng ngờ trên mạng mục tiêu vài tuần trước khi ransomware được triển khai," Symantec và Carbon Black cho biết. "Sự hiện diện của một side-loaded loader đáng ngờ trên mạng mục tiêu vài tuần trước khi ransomware được triển khai cũng là một điểm đáng lưu ý trong chiến dịch tấn công này."
Một công cụ khác được triển khai trên mạng mục tiêu một ngày sau khi ransomware được triển khai là chương trình truy cập từ xa GotoHTTP, cho thấy những kẻ tấn công có thể đang tìm cách duy trì quyền truy cập dai dẳng vào các máy chủ bị xâm nhập.
"BYOVD phổ biến với những kẻ tấn công do hiệu quả của nó và sự phụ thuộc vào các file hợp pháp, có chữ ký, ít có khả năng gây ra báo động đỏ," công ty cho biết.
"Những lợi ích của việc tích hợp khả năng né tránh phòng thủ vào payload ransomware, và lý do các tác nhân ransomware có thể làm điều này, có thể bao gồm việc đóng gói binary né tránh phòng thủ và payload ransomware cùng nhau sẽ "ít ồn ào hơn", với không có file bên ngoài riêng biệt nào bị thả trên mạng nạn nhân."
Phát hiện này trùng hợp với nhiều diễn biến liên quan đến ransomware trong những tuần gần đây:
- Một chiến dịch lừa đảo (phishing) quy mô lớn đã sử dụng email với các tệp đính kèm shortcut Windows (LNK) để chạy mã PowerShell tải về một dropper Phorpiex, sau đó được dùng để phát tán ransomware GLOBAL GROUP. Ransomware này đáng chú ý vì thực hiện tất cả hoạt động cục bộ trên hệ thống bị xâm nhập, giúp nó tương thích với các môi trường air-gapped. Nó cũng không thực hiện exfiltration dữ liệu.
- Các cuộc tấn công do WantToCry tiến hành đã lạm dụng các máy ảo (VMs) được cung cấp bởi ISPsystem, một nhà cung cấp quản lý hạ tầng ảo hợp pháp, để lưu trữ và phân phối payload độc hại trên quy mô lớn. Một số hostname đã được xác định trong hạ tầng của nhiều nhà điều hành ransomware, bao gồm LockBit, Qilin, Conti, BlackCat, và Ursnif, cũng như nhiều chiến dịch malware liên quan đến NetSupport RAT, PureRAT, Lampion, Lumma Stealer, và RedLine Stealer.
- Người ta đánh giá rằng các nhà cung cấp bulletproof hosting đang cho thuê máy ảo ISPsystem cho các tác nhân tội phạm khác để sử dụng trong các hoạt động ransomware và malware delivery bằng cách khai thác một điểm yếu thiết kế trong các template Windows mặc định của VMmanager, vốn tái sử dụng cùng một hostname tĩnh và các định danh hệ thống mỗi khi chúng được triển khai. Điều này, đến lượt nó, cho phép các tác nhân đe dọa thiết lập hàng nghìn VM với cùng hostname và làm phức tạp các nỗ lực gỡ bỏ.
- DragonForce đã tạo ra dịch vụ "Company Data Audit" để hỗ trợ các bên liên kết trong các chiến dịch tống tiền như một phần của quá trình chuyên nghiệp hóa hoạt động ransomware. "Cuộc kiểm toán bao gồm một báo cáo rủi ro chi tiết, các tài liệu truyền thông được chuẩn bị sẵn, như kịch bản cuộc gọi và executive-level letters, cùng với hướng dẫn chiến lược được thiết kế để gây ảnh hưởng đến các cuộc đàm phán," LevelBlue cho biết. DragonForce hoạt động như một cartel cho phép các bên liên kết tạo thương hiệu riêng trong khi hoạt động dưới sự bảo trợ của nó và tiếp cận các tài nguyên và dịch vụ của nó.
- Phiên bản mới nhất của LockBit, LockBit 5.0, đã được phát hiện sử dụng ChaCha20 để mã hóa các tệp và dữ liệu trên các môi trường Windows, Linux và ESXi, một sự thay đổi từ phương pháp mã hóa dựa trên AES trong LockBit 2.0 và LockBit 3.0. Ngoài ra, phiên bản mới còn có một thành phần wiper, tùy chọn trì hoãn thực thi trước khi mã hóa, theo dõi trạng thái mã hóa bằng thanh tiến trình, các kỹ thuật chống phân tích được cải thiện để tránh bị phát hiện, và thực thi trong bộ nhớ nâng cao để giảm thiểu dấu vết trên đĩa.
- Nhóm ransomware Interlock đã tiếp tục tấn công các tổ chức ở Vương quốc Anh và Hoa Kỳ, đặc biệt là trong lĩnh vực giáo dục, trong một trường hợp đã khai thác một lỗ hổng zero-day trong driver chống gian lận GameDriverx64.sys (CVE-2025-61155, điểm CVSS: 5.5) để vô hiệu hóa các công cụ bảo mật trong một cuộc tấn công BYOVD. Cuộc tấn công cũng được đặc trưng bởi việc triển khai NodeSnake/Interlock RAT (còn gọi là CORNFLAKE) để đánh cắp dữ liệu, trong khi quyền truy cập ban đầu được cho là bắt nguồn từ lây nhiễm MintLoader.
- Các nhà điều hành ransomware đã được quan sát ngày càng chuyển trọng tâm từ các mục tiêu on-premises truyền thống sang các dịch vụ lưu trữ đám mây, đặc biệt là các S3 buckets bị cấu hình sai do Amazon Web Services (AWS) sử dụng, với các cuộc tấn công dựa vào các tính năng đám mây gốc để xóa hoặc ghi đè dữ liệu, tạm ngừng truy cập hoặc trích xuất nội dung nhạy cảm, đồng thời lẩn tránh sự phát hiện.
Theo dữ liệu từ Cyble, GLOBAL GROUP là một trong nhiều nhóm ransomware xuất hiện vào năm 2025, các nhóm khác bao gồm Devman, DireWolf, NOVA, J group, Warlock, BEAST, Sinobi, NightSpire và The Gentlemen. Chỉ riêng trong Quý 4 năm 2025, danh sách trên trang rò rỉ dữ liệu của Sinobi đã tăng 306%, biến nó thành nhóm ransomware hoạt động nhiều thứ ba sau Qilin và Akira, theo ReliaQuest.
"Trong khi đó, sự trở lại của LockBit 5.0 là một trong những thay đổi lớn nhất của Quý 4, được thúc đẩy bởi sự tăng vọt vào cuối quý khi nhóm này liệt kê 110 tổ chức chỉ riêng trong tháng 12," nhà nghiên cứu Gautham Ashok cho biết. "Kết quả này cho thấy một nhóm có thể mở rộng quy mô thực thi nhanh chóng, chuyển đổi các cuộc xâm nhập thành tác động và duy trì một hệ thống liên kết có khả năng hoạt động với số lượng lớn."
Sự xuất hiện của các tác nhân mới, kết hợp với các mối quan hệ đối tác được hình thành giữa các nhóm hiện có, đã dẫn đến sự gia tăng hoạt động ransomware. Các tác nhân ransomware đã tuyên bố tổng cộng 4.737 cuộc tấn công trong năm 2025, tăng từ 4.701 vào năm 2024. Số lượng cuộc tấn công không liên quan đến mã hóa mà thay vào đó chỉ dựa vào việc đánh cắp dữ liệu như một phương tiện để gây áp lực đã đạt 6.182 trong cùng kỳ, tăng 23% so với năm 2024.
Về khoản tiền chuộc trung bình, con số này là 591.988 USD trong Quý 4 năm 2025, tăng 57% so với Quý 3 năm 2025, do một số ít "các khoản dàn xếp lớn," Coveware cho biết trong báo cáo quý tuần trước, và nói thêm rằng các tác nhân đe dọa có thể quay trở lại "nguồn gốc mã hóa dữ liệu" để có đòn bẩy hiệu quả hơn nhằm lấy tiền chuộc từ nạn nhân.
