Reynolds Ransomware gasi sigurnosni softver

AUTOR ·

Kampanja Reynolds Ransomware posljednjih mjeseci privlači sve veću pažnju zbog naprednih taktika i sposobnosti da izbjegne otkrivanje čak i od strane najnaprednijih softvera za detekciju i odgovor na prijetnje. Ona koristi ranjivosti u potpisanim upravljačkim softverima u režimu jezgra kako bi onemogućila bezbjednosni softver i neprimjetno rasporedila ucjenjivački softver.

Reynolds ransomware

Reynolds Ransomware gasi sigurnosni softver; Source: Bing Image Creator

REYNOLDS RANSOMWARE KAMPANJA

Nedavna kampanja ucjenjivačkog softvera (eng. ransomware) pod nazivom Reynolds privukla je pažnju Symantec and Carbon Black Threat Hunter Team sigurnosnih istraživača zbog jedinstvenih karakteristika i taktika koje su zlonamjerni akteri koristili. Jedna od ključnih osobina ove kampanje jeste integracija komponente za izbjegavanje odbrane “donesi svoj ranjivi upravljači softver” (eng. bring-your-own-vulnerable-driver – BYOVD) unutar samog paketa ucjenjivačkog softvera. Ovaj pristup razlikuje se od ranijih metoda, gdje bi se poseban alat koristio prije paketa ucjenjivačkog softvera radi onemogućavanja bezbjednosnog softvera.

Tehnika donesi svoj ranjivi upravljači softver (BYOVD) posljednjih godina postala je sve češća među zlonamjernim akterima i koristi se kao glavna metoda za narušavanje odbrane. Njena efikasnost leži u sposobnosti da poveća privilegije i poremeti bezbjednosne mjere iskorištavanjem ranjivosti unutar potpisanih upravljačkih softvera koji rade na nivou pristupa u režimu jezgra (eng. kernel-mode). Takvi ranjivi upravljači softveri mogu se upotrijebiti za prekid procesa povezanih sa različitim bezbjednosnim softverima.

Integracija komponente donesi svoj ranjivi upravljači softver (BYOVD) unutar paketa ucjenjivačkog softvera nije potpuno nova, ali predstavlja neuobičajen pristup u današnjem pejzažu prijetnji. Ova taktika ranije je primijećena tokom napada ucjenjivačkog softvera Ryuk 2020. godine, kao i u incidentu sa ucjenjivačkim softverom Obscura krajem avgusta 2025. godine. Kombinovanje komponenti za izbjegavanje odbrane sa paketima ucjenjivačkog softvera pokazuje kako se sajber prijetnje stalno razvijaju.

Reynolds kampanja tako postaje primjer prilagođavanja taktika zlonamjernih aktera radi izbjegavanja otkrivanja od strane bezbjednosnog softvera. Ugrađivanjem komponente donesi svoj ranjivi upravljači softver (BYOVD) unutar paketa ucjenjivačkog softvera, oni mogu zaobići tradicionalne bezbjednosne mjere i održati postojanost na ugroženim sistemima.

 

Funkcionisanje

Onesposobljavanje odbrambenih mehanizama postalo je ključna faza u savremenim napadima ucjenjivačkog softvera. Reynolds Ransomware pokazuje da se prije samog šifrovanja datoteka zlonamjerni akteri usmjeravaju na uklanjanje antivirusnih softvera i softvera za detekciju i odgovor na prijetnje (eng. Endpoint Detection and Response – EDR). Ovakva praksa razvila se, jer su proizvođači bezbjednosnih rješenja unaprijedili otkrivanje ranih znakova zlonamjernih aktivnosti, pa su se grupe prilagodile uvođenjem onesposobljavanja odbrane kao standardnog postupka. Time se otvara prostor za neometano sprovođenje šifrovanja i daljih aktivnosti.

Najčešće korištena metoda za ovakvo onesposobljavanje jeste donesi svoj ranjivi upravljači softver (BYOVD). Zlonamjerni akteri ubacuju potpisan, ali neispravan upravljači softver u sistem i koriste ga za dobijanje viših privilegija i gašenje zaštitnih procesa. Posebno su na meti upravljači softver razvijen od strane bezbjednosnih kompanija, koji u pogrešnim rukama postaje sredstvo za potpunu kontrolu nad sistemom. Prednost ove tehnike leži u tome što se oslanja na datoteke koje prolaze standardne provjere, pa se teže otkrivaju.

Primjeri alata koji koriste ranjivi upravljači softver su brojni. TrueSightKiller se oslanja na truesight.sys, GhostDriver koristi ranjivi upravljači softver za gašenje procesa, dok Poortry (poznat i kao BurntCigar) često dolazi u kombinaciji sa Stonestop. AuKill koristi staru verziju Microsoft Process Explorer upravljačkog softvera, a zabilježeni su i alati poput Gmer i Warp AVKiller. U novijim kampanjama posebno se ističe NSecKrnl upravljači softver (CVE-2025-68947), čija zloupotreba omogućava izvršavanje komandi bez provjere dozvola i gašenje zaštićenih procesa, uključujući one koji pripadaju sistemu. Kada se upravljači softver ubaci u sistem i učita u jezgro, zlonamjerni akteri dobijaju potpunu kontrolu nad sistemom.

Reynolds Ransomware napadi jasno se uklapaju u MITRE ATT&CK okvir. Tehnika T1562.001 odnosi se na onesposobljavanje odbrambenih alata, T1068 na iskorištavanje ranjivosti radi dobijanja viših privilegija, dok T1216 opisuje zloupotrebu potpisanih binarnih datoteka za izvršavanje zlonamjernih komandi. Kombinacija ovih postupaka omogućava zlonamjernim akterima da neometano djeluju u sistemu, uklone zaštitu i pripreme teren za šifrovanje datoteka. Time se povećava vjerovatnoća uspješnog napada i smanjuje mogućnost otkrivanja.

Osnovna Reynolds Ransomware funkcija ostaje šifrovanje datoteka i ostavljanje poruke o otkupu. Prije toga, ranjivi upravljači softver ubacuje se u sistem, učitava u jezgro i koristi za gašenje procesa bezbjednosnih agenata. Time se domaćin zasljepljuje i zlonamjernim akterima otvara put ka potpunoj kontroli. U pojedinim slučajevima nakon šifrovanja instaliran je i GotoHTTP alat za daljinski pristup, što pokazuje namjeru da se zadrži prisustvo i nakon završene inicijalne faze napada. Sve ovo potvrđuje da donesi svoj ranjivi upravljači softver (BYOVD) ostaje najopasniji i najčešće korišten mehanizam onesposobljavanja odbrane u savremenim kampanjama ucjenjivačkog softvera.

 

UTICAJ

Reynolds Ransomware pokazuje kako onesposobljavanje odbrambenih mehanizama mijenja tok savremenih napada. Kada se bezbjednosni softveri uklone iz sistema, zlonamjerni akteri dobijaju prostor da neometano sprovedu šifrovanje i dodatne aktivnosti. Time se povećava vjerovatnoća da napad ostane neprimijećen, što direktno utiče na uspješnost kampanje i težinu posljedica po pogođene organizacije.

Upotreba ranjivih upravljačkih softvera unutar paketa ucjenjivačkog softvera dovodi do toga da legitimne datoteke postaju sredstvo za gašenje zaštite. Ovakav pristup otežava otkrivanje, jer se oslanja na potpisane komponente koje prolaze standardne provjere. Posljedica je da sistemi koji se oslanjaju na tradicionalne metode provjere gube sposobnost da pravovremeno reaguju, čime se otvara put ka potpunoj kontroli nad inficiranim sistemom.

Uticaj se ogleda i u promjeni dinamike između zlonamjernih aktera i odbrambenih timova. Proizvođači bezbjednosnih rješenja unaprijedili su otkrivanje ranih znakova zlonamjernih aktivnosti, ali integracija ranjivih upravljačkih softvera unutar samog paketa ucjenjivačkog softvera pomjera granicu. Time se odbrana dovodi u situaciju da mora reagovati na prijetnje koje se pojavljuju tek nakon što zaštita bude uklonjena, što značajno smanjuje vrijeme za odgovor.

Korištenje ovakvih tehnika utiče i na širi pejzaž prijetnji. Napadi koji uključuju ranjive upravljačke softvere postaju sve češći, pa se povećava pritisak na organizacije da razvijaju nove načine otkrivanja i zaštite. To dovodi do stalne trke između zlonamjernih aktera i odbrane, gdje svaka nova kampanja pokazuje koliko se metode prilagođavaju i koliko brzo mijenjaju ravnotežu snaga.

Dodatni uticaj nastaje kada se nakon šifrovanja instaliraju alati za daljinski pristup. Time zlonamjerni akteri ne samo da ostvaruju kontrolu nad podacima, već i zadržavaju prisustvo u sistemu. Posljedice se šire izvan inicijalnog napada, jer kompromitovani domaćin ostaje pod dugotrajnim nadzorom, što povećava rizik od daljih zloupotreba i produbljuje štetu.

 

ZAKLJUČAK

Razvoj ucjenjivačkog softvera pokazuje da se granice između odbrane i napada stalno pomjeraju. Kada se sposobnosti za izbjegavanje zaštite ugrade u sam zlonamjerni softver, napad postaje tiši i brži, a odbrana se suočava sa novim izazovima. Ovakva praksa mijenja način na koji se posmatraju prijetnje i otvara prostor za dalja prilagođavanja.

Ugradnja dodatnih mogućnosti u pakete ucjenjivačkog softvera ne utiče samo na tehnički aspekt napada, već i na način na koji se razvija tržište zlonamjernih alata. Paketi koji nude više funkcija postaju privlačniji za saradnike, jer zahtijevaju manje koraka i olakšavaju izvođenje napada. Time se oblikuje nova dinamika u kojoj se ucjenjivački softver posmatra kao proizvod sa dodatnom vrijednošću.

Ovakvi trendovi ukazuju da se ucjenjivački softver sve više posmatra kao sveobuhvatan alat, a ne samo kao sredstvo za šifrovanje podataka. Kada se u jednom paketu objedine različite sposobnosti, napadi dobijaju novu dimenziju i postaju teže predvidljivi. To mijenja način na koji se prijetnje razvijaju i kako se šire među različitim grupama.

Dalji razvoj ovakvih metoda pokazuje da se granica između tehničke inovacije i zlonamjerne upotrebe stalno pomjera. Svaka nova kampanja otvara pitanje šta će biti sljedeći korak i kako će se oblikovati budući pejzaž prijetnji. U tom procesu, ucjenjivački softver postaje primjer stalne promjene koja ne prestaje da izaziva pažnju.

Kada se posmatra šira slika, jasno je da ovakvi napadi ne ostaju ograničeni na pojedinačne slučajeve. Oni se uklapaju u širi tok razvoja digitalnih prijetnji, gdje se granice stalno brišu i gdje se nove metode pojavljuju kao dio neprekidnog procesa prilagođavanja.

 

PREPORUKE

Zaštita od Reynolds Ransomware kampanje zahtijeva proaktivan pristup kroz primjenu snažnih sigurnosnih mjera na svim nivoima organizacije, uz jasno definisane procedure i stalno praćenje potencijalnih prijetnji. U nastavku slijede preporuke koje mogu pomoći u jačanju otpornosti i smanjenju rizika:

  1. Organizacije treba da održavaju ažurnu listu blokiranih heš vrijednosti drajvera povezanih sa CVE-2025-68947 i drugim zloupotrebljenim upravljačim softverima, kako bi se spriječilo njihovo učitavanje na Windows Ovo se može postići redovnim ažuriranjem liste koristeći pouzdane izvore, kao što su obavještenja bezbjednosnih proizvođača ili državni bilteni.
  2. Primjena mjera koje kontrolišu učitavanje upravljačkih softvera je od ključnog značaja za sprječavanje izvršavanja zlonamjernog kôda. Organizacije treba da razmotre primjenu rješenja poput Windows Defender Application Control (WDAC) radi blokiranja i uklanjanja ranjivih upravljačkih softvera, uključujući NsecKrnl.sys.
  3. Redovno nadgledanje sistemskih dnevnika i mrežnog saobraćaja može pomoći u ranom otkrivanju potencijalnih bezbjednosnih incidenata. Ovo uključuje praćenje događaja instalacije upravljačkih softvera, naročito učitavanja nepotpisanih ili neočekivanih upravljačkih softvera koji mogu ukazivati na zlonamjernu aktivnost.
  4. Primjena mogućnosti praćenja procesa omogućava organizacijama da prate pokrenute procese u stvarnom vremenu, što im daje mogućnost da brzo otkriju i reaguju na sumnjivo ponašanje. Ovo je posebno važno za agente softvera za detekciju i odgovor na prijetnje (EDR) i antivirusne softvere koje privilegovani upravljački softver može ugasiti.
  5. Održavanje bezbjednosnog softvera sa najnovijim ispravkama i definicijama osigurava njegovu efikasnost protiv novih prijetnji, uključujući one koje ciljaju Windows sisteme sa softverima za detekciju i odgovor na prijetnje (EDR) ili antivirusnim rješenjima.
  6. Sprovođenje redovnih bezbjednosnih provjera pomaže u otkrivanju ranjivosti i slabosti u odbrani organizacije, omogućavajući ciljane mjere ublažavanja prije nego što dođe do potencijalnog napada.
  7. Posjedovanje planova odgovora na sajber prijetnje osigurava da su organizacije spremne da brzo i efikasno reaguju kada dođe do bezbjednosnog ugrožavanja, smanjujući uticaj bilo kakve štete ili gubitka podataka.
  8. Obezbjeđivanje redovne obuke za sve zaposlene pomaže da svi razumiju svoju ulogu u očuvanju ukupne bezbjednosne pozicije organizacije i da mogu rano prepoznati potencijalne prijetnje.
  9. Primjena bezbjednih komunikacionih kanala osigurava da se osjetljive informacije prenose sigurno, smanjujući rizik od presretanja ili prisluškivanja od strane zlonamjernih aktera koji žele da iskoriste ranjivosti povezane sa Reynolds Ransomware kampanjom.
  10. Održavanje tačnih evidencija sistema pomaže organizacijama da prate i upravljaju svojim IT resursima na efikasan način, omogućavajući im da rano identifikuju potencijalne bezbjednosne rizike i sprovedu ciljane mjere ublažavanja prije nego što dođe do napada.
  11. Primjena bezbjednih praksi skladištenja podataka osigurava da se osjetljive informacije čuvaju na bezbjedan način, smanjujući rizik od neovlaštenog pristupa ili krađe od strane zlonamjernih aktera koji žele da iskoriste ranjivosti povezane sa Reynolds Ransomware kampanjom.
  12. Redovno ažuriranje operativnih sistema i softvera pomaže da oni ostanu zaštićeni od novih prijetnji, uključujući one koje ciljaju Windows sisteme sa softverima za detekciju i odgovor na prijetnje (EDR) ili antivirusnim rješenjima.
  13. Primjena bezbjedne segmentacije mreže osigurava da se osjetljivi podaci izoluju od manje kritičnih resursa, smanjujući površinu za napad zlonamjernih aktera koji žele da iskoriste ranjivosti povezane sa Reynolds Ransomware kampanjom.
  14. Održavanje tačnih kontrola pristupa korisnika pomaže da samo ovlašćeni zaposleni imaju pristup osjetljivim informacijama i sistemima, smanjujući rizik od neovlaštenog pristupa ili krađe od strane zlonamjernih aktera koji žele da iskoriste ranjivosti povezane sa Reynolds Ransomware
  15. Primjena bezbjednih praksi pravljenja rezervnih kopija osigurava da su ključni poslovni resursi zaštićeni od gubitka usljed zlonamjernog napada ili druge katastrofe, omogućavajući organizacijama da se brzo oporave i smanjuju prekid rada u takvim situacijama.
  16. Primjena praksi bezbjednog šifrovanja podataka osigurava da su osjetljive informacije zaštićene od neovlaštenog pristupa ili krađe od strane zlonamjernih aktera koji žele da iskoriste ranjivosti povezane sa Reynolds Ransomware kampanjom.

Zaštita od Reynolds Ransomware kampanje zahtijeva proaktivan pristup koji uključuje primjenu snažnih mjera bezbjednosti na svim nivoima organizacije. Pridržavanjem ovih preporuka i održavanjem snažnog fokusa na kontrolu upravljačkih softvera, praćenje procesa, otkrivanje alata za udaljeni pristup i druge ključne oblasti, organizacije mogu značajno smanjiti svoju izloženost riziku i obezbijediti kontinuitet poslovanja u uslovima novih izazova u sajber bezbjednosti.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.