Il ransomware Reynolds si sta facendo notare nel panorama delle minacce informatiche per una tecnica di evasione particolarmente efficace: integra direttamente nel payload un componente BYOVD (bring your own vulnerable driver). In pratica gli attaccanti includono un driver legittimo ma vulnerabile per ottenere privilegi elevati e disattivare le soluzioni EDR (endpoint detection and response), così da rendere più difficile l’individuazione delle attività malevole.

La logica del BYOVD è semplice ma potente. Invece di sfruttare solo malware tradizionale, i criminali abusano di file firmati e considerati affidabili dal sistema operativo. Questo riduce i segnali di allarme e permette di terminare processi di sicurezza, aprendo la strada alla cifratura dei dati tipica degli attacchi ransomware. Nel caso di Reynolds, il driver vulnerabile viene rilasciato sulla macchina compromessa e usato per interrompere processi associati a diversi prodotti di sicurezza, inclusi strumenti EDR e suite endpoint di vendor molto diffusi.

Il driver menzionato nella campagna è NsecSoft NSecKrnl, collegato a una vulnerabilità nota identificata come CVE-2025-68947. Questa falla può essere sfruttata per terminare processi arbitrari, un passaggio cruciale per neutralizzare le difese prima della fase di crittografia. L’utilizzo di un driver vulnerabile non è una novità assoluta nel mondo ransomware, ma la scelta di impacchettare il componente di defense evasion direttamente insieme al ransomware rende l’attacco più silenzioso e più rapido da eseguire, senza dover distribuire strumenti separati.

Un ulteriore elemento osservato in queste intrusioni è la presenza di componenti sospetti nella rete della vittima settimane prima del rilascio del ransomware, segnale di una fase di preparazione e ricognizione. Dopo la distribuzione, è stato anche rilevato l’impiego di un programma di accesso remoto come GotoHTTP, indicazione che gli attaccanti potrebbero puntare a mantenere persistenza e controllo sui sistemi compromessi.

Per la sicurezza aziendale questo scenario evidenzia la necessità di monitorare non solo i file eseguibili, ma anche driver e componenti firmati, rafforzando controlli su caricamento driver, gestione privilegi e comportamenti anomali dei processi di protezione endpoint.