近來資安研究揭露,一個名為 Reynolds 的新興勒索軟體家族,開始將 BYOVD(Bring Your Own Vulnerable Driver)漏洞驅動 直接整合進勒索軟體本體,用以規避終端防護工具(EDR)。這種手法讓攻擊者能在目標系統上「悄無聲息」地關閉安全防護,增加勒索攻擊成功率。
什麼是 BYOVD?
BYOVD 是一種利用「合法但存在漏洞的驅動程式」來取得系統權限並關閉防護工具的技術。傳統上,這類漏洞驅動會由攻擊者先行部署在受害系統,再執行勒索軟體。但 Reynolds 將這個漏洞驅動直接打包在勒索軟體本體中,攻擊流程更緊密,也更難被偵測。
資安公司Symantec 與 Carbon Black 的團隊指出,此次攻擊中使用的驅動程式為 NsecSoft NSecKrnl,可藉由已知漏洞(CVE-2025-68947,CVSS 5.7)終止目標系統上任意進程,包括 Avast、CrowdStrike、Palo Alto Cortex XDR、Sophos、Symantec Endpoint Protection 等安全軟體,讓勒索軟體能無阻執行。
過去一年,資安研究也觀察到 Silver Fox 等攻擊組織曾利用相同或類似漏洞驅動,先行「清除」安全工具,再部署後續惡意程式。
將防禦規避與勒索合而為一:攻擊更沉默、更有效
將防禦規避功能與勒索軟體本體整合,有兩大優勢:
- 減少外部痕跡:不需額外下載或執行工具,降低被偵測機率
- 簡化攻擊流程:勒索軟體操作者不需額外整合步驟,攻擊更流暢
Symantec 與 Carbon Black 也觀察到,在 Reynolds 攻擊前,受害網路曾出現可疑 side-loaded loader 幾週,勒索軟體部署後,攻擊者又使用 GotoHTTP 遠端存取程式,顯示其目標是建立長期滲透與持續控制能力。
資安專家指出,BYOVD 技術受到青睞,正因為它利用合法簽名檔案,比純惡意程式更難引起警示。
勒索產業持續演進
Reynolds 的新手法也反映勒索軟體產業日益專業化與高效率的趨勢:
- 全球化攻擊與自動化:LockBit 5.0 導入 ChaCha20 加密、多平台支援、進階反分析與記憶體加密技術
- 雲端與資料竊取:攻擊者將目標從內部網路轉向雲端存儲,濫用 AWS S3 欄位錯誤設定,低風險高效率地進行資料竊取或破壞
- 專業化勒索服務:DragonForce 提供「公司資料審核」服務,包含風險報告、執行手冊與策略指導,幫助加盟夥伴高效勒索
根據資安公司Cyble 資料,2025 年勒索軟體事件共計 4,737 起,較 2024 年略增;僅依賴資料竊取的攻擊更成長 23%,顯示勒索手法正從單純加密轉向多元化威脅。
平均贖金也明顯提高,2025 年第四季為 591,988 美元,較上一季成長 57%,凸顯攻擊者利用資料與加密雙管齊下,獲利能力日益提升。
資安觀察
從 Reynolds 事件可見,高階勒索軟體不再只靠單一惡意程式,而是結合 漏洞驅動、EDR 關閉、遠端存取與後續持續滲透,形成完整攻擊鏈。對企業而言,防禦策略不能僅依賴傳統防毒或加密保護,而必須:
- 強化漏洞驅動管理
- 監控異常系統進程終止行為
- 提升網路入侵偵測與橫向移動防護能力
換言之,面對新一代勒索威脅,企業防護必須從「裝置安全」升級至 系統與流程整合的全方位防護。
Reynolds勒索軟體的部分入侵指標(Indicator of compromise -IOCs):
5213706ae67a7bf9fa2c0ea5800a4c358b0eaf3fe8481be13422d57a0f192379
e09686fde44ae5a804d9546105ebf5d2832917df25d6888aefa36a1769fe4eb4
bf6686858109d695ccdabce78c873d07fa740f025c45241b0122cecbdd76b54e
6bd8a0291b268d32422139387864f15924e1db05dbef8cc75a6677f8263fa11d
206f27ae820783b7755bca89f83a0fe096dbb510018dd65b63fc80bd20c03261
230b84398e873938bbcc7e4a1a358bde4345385d58eb45c1726cee22028026e9