Ransomware Reynolds explora driver vulnerável para derrubar antivírus e EDR
Pesquisadores de segurança digital identificaram uma nova família de ransomware, batizada de Reynolds, que eleva o nível de sofisticação dos ataques ao usar uma técnica avançada para neutralizar defesas antes mesmo de iniciar a criptografia dos dados. Em vez de depender de ferramentas externas ou de etapas adicionais na cadeia de ataque, o malware já traz embutido em seu próprio código um driver vulnerável, explorando o método conhecido como BYOVD (Bring Your Own Vulnerable Driver).
Como o Reynolds derruba antivírus antes de atacar
Ao contrário de campanhas tradicionais, nas quais o invasor primeiro instala um driver malicioso ou vulnerável no sistema da vítima para depois explorar a falha, o Reynolds incorpora esse driver diretamente no executável principal do ransomware. Isso reduz o número de ações suspeitas que poderiam ser detectadas por soluções de segurança, tornando todo o processo mais ágil, discreto e difícil de rastrear.
O componente usado é o driver NSecKrnl, desenvolvido pela empresa NSecSoft, afetado por uma vulnerabilidade crítica registrada como CVE‑2025‑68947. Essa falha abre espaço para que processos sejam interrompidos em modo kernel sem que haja uma checagem adequada de permissões. Em outras palavras, o driver permite que o atacante, com privilégios de sistema, encerre praticamente qualquer serviço em execução no Windows, inclusive soluções de proteção.
Antivírus e EDR na linha de tiro
A exploração da falha no NSecKrnl tem um alvo muito claro: derrubar camadas de defesa que poderiam bloquear ou ao menos retardar a ação do ransomware. Entre as ferramentas visadas estão alguns dos principais produtos de segurança corporativa do mercado, como:
– CrowdStrike Falcon
– Cortex XDR
– Symantec Endpoint Protection
– Sophos
– Avast
Ao encerrar os serviços de antivírus e de EDR (Endpoint Detection and Response), o Reynolds remove boa parte das barreiras que monitoram o comportamento de processos, verificam arquivos em tempo real e disparam alertas automáticos. Quando essas proteções são desativadas à força no nível do kernel, a capacidade de resposta do ambiente cai drasticamente.
Ataque mais rápido, silencioso e difícil de conter
Depois que o ransomware termina de matar os processos de segurança, ele parte imediatamente para a etapa principal do ataque: a criptografia dos arquivos da vítima. Como a desativação dos mecanismos de defesa ocorre de forma quase instantânea e sem a instalação de componentes adicionais, há pouquíssimos sinais de preparação prévia.
Especialistas apontam que isso representa uma evolução nas técnicas de evasão:
– Menos indicadores de comprometimento durante a fase inicial
– Menor tempo disponível para que sistemas automatizados detectem comportamentos suspeitos
– Redução drástica da janela de reação de equipes de segurança
O resultado é um ataque extremamente veloz. Em poucos minutos, um ambiente que aparentemente estava protegido pode se ver com seus arquivos inacessíveis, sem que tenha havido tempo hábil para bloquear o ransomware ou isolar a máquina comprometida.
BYOVD: técnica conhecida, mas agora mais perigosa
A estratégia BYOVD não é novidade no cenário de ameaças. Criminosos digitais há anos buscam drivers legitimamente assinados, mas com falhas graves, para explorar o alto nível de privilégio que eles possuem no sistema operacional. O que diferencia o Reynolds é a forma como essa técnica foi integrada diretamente ao payload do ransomware.
Ao eliminar a necessidade de instalar ou baixar o driver em um estágio separado, os operadores do Reynolds:
– reduzem a chance de bloqueio por políticas de controle de dispositivos e drivers
– minimizam os eventos suspeitos registrados em logs
– tornam mais difícil a correlação de atividades maliciosas pelos analistas
Essa tendência aponta para ataques cada vez mais autônomos e compactos, em que o próprio executável carrega tudo o que precisa para abrir caminho, desativar proteções e criptografar dados em sequência.
Por que pentest deve ser exigência antes de contratar software
O caso Reynolds reforça um ponto crítico para empresas: confiar apenas no marketing do fornecedor é um risco alto. Soluções que rodam em modo kernel, como drivers e componentes de segurança, precisam passar por avaliações rigorosas, incluindo testes de intrusão (pentests) e revisões de código focadas em vulnerabilidades de alta criticidade.
Antes de contratar qualquer software que tenha acesso privilegiado ao sistema — seja solução de segurança, gerenciamento, monitoramento ou automação — é fundamental exigir:
– laudos de pentest recentes, realizados por empresas independentes
– histórico de correções de segurança e tempo médio de resposta a falhas
– comprovações de processos maduros de desenvolvimento seguro
Muitas organizações ainda veem pentest como custo opcional, quando na prática ele funciona como uma barreira preventiva contra incidentes que podem parar operações inteiras ou expor dados sensíveis de clientes.
Os riscos de integrar IA ao desenvolvimento de software de segurança
O avanço da IA no ciclo de desenvolvimento promete mais agilidade, mas também traz novos riscos. Ferramentas de geração automática de código podem:
– reproduzir padrões inseguros presentes em bases de treino
– gerar trechos de código com falhas lógicas difíceis de detectar em revisões superficiais
– acelerar a produção de software sem que os processos de validação de segurança acompanhem o mesmo ritmo
Em produtos como drivers, agentes de segurança e módulos que interagem com o kernel, qualquer erro pode ser explorado de forma devastadora — como mostra o caso do NSecKrnl.
Para reduzir esse risco, equipes de desenvolvimento que utilizam IA precisam:
– adotar revisões manuais rigorosas em qualquer código gerado ou sugerido por modelos
– ampliar a cobertura de testes automatizados de segurança
– incorporar análise estática e dinâmica ainda nas fases iniciais do desenvolvimento
Integrar IA sem reforçar a governança e a segurança do ciclo de vida do software é abrir espaço para que novas vulnerabilidades críticas sejam criadas em escala.
Brasil ainda carece de um marco robusto para incidentes em infraestruturas críticas
A sofisticação vista em ataques como o do Reynolds levanta preocupações adicionais em países onde a legislação sobre segurança cibernética ainda é fragmentada. No Brasil, apesar da existência de normas gerais relacionadas a proteção de dados e algumas diretrizes setoriais, ainda não há um marco abrangente e robusto de responsabilização especificamente voltado a incidentes cibernéticos em infraestruturas críticas.
Isso gera lacunas importantes, como:
– falta de critérios claros sobre responsabilização de fornecedores de software com falhas graves
– ausência de padrões mínimos obrigatórios de segurança para operadores de serviços essenciais
– incerteza sobre prazos e formatos de notificação de incidentes de grande impacto
Em um cenário em que ransomware com capacidade de derrubar antivírus pode atingir empresas de energia, telecomunicações, saúde, finanças ou transporte, a ausência de regras consolidadas dificulta tanto a prevenção quanto a resposta coordenada a crises cibernéticas.
Como as empresas podem se proteger de ataques como o Reynolds
Embora o Reynolds utilize técnicas avançadas, algumas boas práticas ajudam a reduzir a superfície de ataque e o impacto potencial:
– Gestão rigorosa de drivers e componentes privilegiados: restringir instalação de drivers apenas a fontes confiáveis, validar assinaturas digitais e monitorar alterações.
– Atualizações e correções constantes: manter sistemas, drivers e soluções de segurança sempre atualizados, com atenção especial a vulnerabilidades em modo kernel.
– Educação e conscientização: grande parte dos ransomwares ainda entra por phishing ou exploração de credenciais fracas; reduzir essas portas de entrada é fundamental.
– Backups isolados: cópias de segurança offline ou em ambientes segregados são a última linha de defesa para garantir continuidade mesmo após uma criptografia bem-sucedida.
– Monitoramento de comportamento: mesmo que antivírus e EDR sejam alvos, soluções de monitoramento de rede, SIEM e análise de logs podem indicar atividade anômala e apoiar uma reação rápida.
O papel estratégico da segurança desde o desenho da solução
O caso Reynolds evidencia que segurança não pode ser pensada apenas como um produto instalado “por cima” da infraestrutura. Ela precisa estar presente desde o desenho da solução: na escolha de fornecedores, na arquitetura do sistema, no ciclo de desenvolvimento e na operação diária.
Drivers vulneráveis, integrações mal planejadas com IA e ausência de testes de intrusão deixam brechas que criminosos exploram com rapidez impressionante. Ao mesmo tempo, a falta de um marco legal robusto em setores críticos amplia as consequências desses erros, que podem extrapolar o ambiente digital e afetar a vida de milhares de pessoas.
Investir em testes, governança, atualização contínua e cultura de segurança já não é diferencial competitivo — é requisito mínimo para sobreviver em um cenário onde ransomwares como o Reynolds se tornam, infelizmente, cada vez mais comuns e destrutivos.