Registrieren Anmelden
RegistrierenAnmelden
Banner E-Learning IT-Sicherheit
Breadcrumb-Navigation
Mit <kes>+ lesen

Reynolds-Ransomware hebelt Schutzsysteme mit BYOVD-Taktik aus : Neue Angriffswelle kombiniert Treiber-Missbrauch und Verschlüsselung in einer Payload

Eine neue Ransomware-Familie zeigt, wie Angreifer Verteidigungsmechanismen direkt im Schadcode umgehen. Die Malware „Reynolds“ integriert eine BYOVD-Komponente, um Sicherheitssoftware gezielt auszuschalten. Damit verschärft sich die Bedrohungslage deutlich, weil klassische Erkennungsmechanismen bereits vor der eigentlichen Verschlüsselung außer Kraft gesetzt werden.

THN/Stefan Mutschler (freier Journalist)BedrohungenNetzwerksicherheitSecurity-Management
Lesezeit 7 Min.

Sicherheitsexperten sehen in Reynolds ein Beispiel für eine besonders fortgeschrittene Angriffsmethode. Im Zentrum steht dabei die Technik „Bring Your Own Vulnerable Driver“ – kurz BYOVD. Dabei schleusen Angreifer einen eigentlich legitimen, digital signierten, aber verwundbaren Gerätetreiber in das System ein.

Da Treiber mit weitreichenden Rechten im Kernel-Bereich des Betriebssystems arbeiten, können sie Sicherheitsmechanismen umgehen, Schutzprogramme beenden und sich selbst höhere Berechtigungen verschaffen. Auf diese Weise erhält die Ransomware frühzeitig Kontrolle über zentrale Systemfunktionen und kann ihre weiteren Schadaktivitäten nahezu ungestört ausführen.

BYOVD direkt in der Ransomware verankert

„Normalerweise würde die BYOVD-Komponente als separates Werkzeug vor der Ransomware eingesetzt“, erklären Analysten. „In diesem Angriff war der verwundbare Treiber jedoch direkt im Schadprogramm gebündelt.“

Die Cybersicherheitsteams von Broadcom weisen darauf hin, dass die Bündelung einer Komponente zur Umgehung von Sicherheitsmechanismen direkt im Ransomware-Payload keine völlig neue Taktik ist. Ein ähnliches Vorgehen wurde bereits bei einem Ryuk-Ransomware-Angriff im Jahr 2020 sowie bei einem Vorfall Ende August 2025 mit der weniger bekannten Ransomware-Familie Obscura beobachtet.

Reynolds setzt konkret auf einen anfälligen NSecKrnl-Treiber von NsecSoft, der über die Schwachstelle CVE-2025-68947 das Beenden beliebiger Prozesse ermöglicht. Dadurch kann die Malware Schutzprogramme der meisten Hersteller gezielt abschalten, bevor die eigentliche Verschlüsselung beginnt.

Bemerkenswert ist, dass dieser Treiber bereits von einem Bedrohungsakteur mit der Bezeichnung Silver Fox in Angriffen eingesetzt wurde, die darauf abzielten, Endpunktsicherheitslösungen außer Kraft zu setzen, bevor anschließend die Schadsoftware ValleyRAT ausgeliefert wurde.

Im Verlauf des vergangenen Jahres nutzte Silver Fox wiederholt mehrere eigentlich legitime, jedoch fehlerhafte Treiber – darunter truesight.sys und amsdk.sys – im Rahmen von BYOVD-Angriffen, um Sicherheitsprogramme gezielt außer Gefecht zu setzen.

Schwieriger zu erkennen, leichter zu skalieren

Die enge Verzahnung von Verteidigungsumgehung und eigentlicher Ransomware-Funktion innerhalb derselben Schadkomponente verändert die Dynamik eines Angriffs grundlegend. Während Angreifer bislang mehrere aufeinanderfolgende Werkzeuge einsetzen mussten – zunächst zur Abschaltung von Sicherheitssoftware und erst danach zur Verschlüsselung –, übernimmt Reynolds beide Aufgaben in einem einzigen Schritt. Das reduziert nicht nur die Komplexität des Angriffsablaufs, sondern verkürzt auch die Zeitspanne, in der Verteidiger eingreifen könnten.

„Das Verpacken von Umgehungsfunktion und Ransomware in einer gemeinsamen Payload ist ‘leiser‘, da keine separate Datei im Netzwerk abgelegt wird“, betonen die Analysten. Weil zudem ein legitim signierter, wenn auch verwundbarer Treiber genutzt wird, schlagen viele klassische Sicherheitskontrollen nicht sofort an. Genau diese Kombination aus Tarnung und technischer Wirksamkeit macht BYOVD zu einem besonders attraktiven Werkzeug für Ransomware-Gruppen.

Bemerkenswert ist außerdem der zeitliche Vorlauf der Attacke. Sicherheitsforscher entdeckten bereits Wochen vor der eigentlichen Verschlüsselung einen seitlich eingeschleusten Loader im Zielnetzwerk – ein Hinweis auf sorgfältige Vorbereitung und verdeckte Ausbreitung. Einen Tag nach der Ransomware-Installation richteten die Angreifer zusätzlich das Fernzugriffsprogramm GotoHTTP ein, um ihre Kontrolle über kompromittierte Systeme dauerhaft aufrechtzuerhalten und gegebenenfalls weitere Schritte nachzuschieben.

Ransomware-Ökosystem wächst weiter

Reynolds tritt nicht isoliert auf, sondern in einem Umfeld deutlich wachsender Ransomware-Aktivitäten. Im Jahr 2025 entstanden zahlreiche neue Gruppierungen, während bereits etablierte Akteure ihre Infrastruktur, Partnernetzwerke und Angriffskapazitäten weiter ausbauten. Die Bedrohung entwickelt sich damit sowohl in der Breite durch neue Täter als auch in der Tiefe durch professionellere Operationen bestehender Gruppen.

Einige Entwicklungen rund um Ransomware in den vergangenen Wochen:

  • Eine groß angelegte Phishing-Kampagne setzte E-Mails mit Windows-Verknüpfungsdateien ein, die über PowerShell einen Phorpiex-Dropper nachluden und anschließend die GLOBAL-GROUP-Ransomware installierten. Die Schadsoftware arbeitet vollständig lokal auf dem kompromittierten System, funktioniert dadurch auch in isolierten Umgebungen ohne Internetverbindung und führt keinen Datenabfluss durch.
  • Angriffe der Gruppe WantToCrymissbrauchten virtuelle Maschinen des legitimen Infrastruktur-Anbieters ISPsystem zur massenhaften Verteilung von Schadsoftware. Teile dieser Infrastruktur fanden sich auch bei Ransomware-Akteuren wie LockBit, Qilin, Conti und BlackCat sowie in Kampagnen mit NetSupport RAT, PureRAT, Lampion, Lumma Stealer und RedLine Stealer. Ursache ist vermutlich eine Schwäche in den Standard-Windows-Vorlagen von VMmanager, die identische Hostnamen und Systemkennungen wiederverwenden und so den Aufbau tausender nahezu gleicher virtueller Systeme ermöglichen.
  • Die Gruppe DragonForce professionalisiert Ransomware-Erpressungen durch einen Dienst zur „Unternehmensdaten-Prüfung“. Dieser umfasst detaillierte Risikoberichte, vorbereitete Kommunikationsunterlagen wie Gesprächsleitfäden und Schreiben an Führungskräfte sowie strategische Empfehlungen für Verhandlungen. DragonForce agiert dabei als Kartell, unter dessen Dach Partner mit eigener Marke auftreten, aber gemeinsame Ressourcen nutzen.
  • Die aktuelle Version LockBit 5.0 verwendet den Verschlüsselungsalgorithmus ChaCha20 für Windows-, Linux- und ESXi-Systeme statt des früheren AES-Verfahrens. Zusätzlich enthält sie eine Wiper-Funktion zum Löschen von Daten, Optionen zur verzögerten Ausführung, Fortschrittsanzeigen während der Verschlüsselung, verbesserte Techniken zur Analyseumgehung sowie eine stärker speicherbasierte Ausführung zur Minimierung von Festplattenspuren.
  • Die Gruppe Interlock greift weiterhin Organisationen im Vereinigten Königreich und in den Vereinigten Staaten an, insbesondere im Bildungssektor. Dabei wurde eine bislang unbekannte Schwachstelle im Gaming-Anti-Cheat-Treiber „GameDriverx64.sys“ genutzt, um Sicherheitssoftware über einen BYOVD-Angriff zu deaktivieren. Zusätzlich kam die Schadsoftware NodeSnake beziehungsweise Interlock RAT zum Diebstahl sensibler Daten zum Einsatz, während der Erstzugriff vermutlich über MintLoader erfolgte.
  • Ransomware-Akteure verlagern ihren Fokus zunehmend von lokalen Infrastrukturen hin zu Cloud-Speicherdiensten, insbesondere zu fehlkonfigurierten S3-Speichern von Amazon Web Services. Sie nutzen dabei native Cloud-Funktionen, um Daten zu löschen oder zu überschreiben, Zugriffe zu sperren oder vertrauliche Informationen auszulesen – häufig ohne sofort entdeckt zu werden.

Laut Daten von Cyble gehört GLOBAL GROUP zu den vielen Ransomware-Gruppen, die im Jahr 2025 neu entstanden sind. Weitere neue Akteure sind Devman, DireWolf, NOVA, J group, Warlock, BEAST, Sinobi, NightSpire und The Gentlemen. Besonders auffällig war die Entwicklung bei Sinobi: Allein im vierten Quartal 2025 stiegen die Einträge auf der eigenen Datenleck-Seite um 306 Prozent. Damit wurde die Gruppe nach Angaben von ReliaQuest zur drittaktivsten Ransomware-Organisation – hinter Qilin und Akira.

„Die Rückkehr von LockBit 5.0 war eine der größten Veränderungen im vierten Quartal“, erklärte der Experte Gautham Ashok. „Allein im Dezember listete die Gruppe 110 betroffene Organisationen. Das zeigt, wie schnell LockBit Angriffe skalieren, erfolgreiche Einbrüche in konkrete Schäden verwandeln und ein leistungsfähiges Affiliate-Netzwerk im großen Maßstab betreiben kann.“

Insgesamt nahm die Ransomware-Aktivität weiter zu. Für das Jahr 2025 bekannten sich Angreifer zu 4.737 dokumentierten Attacken, nach 4.701 im Vorjahr. Gleichzeitig stieg die Zahl der Angriffe ohne Verschlüsselung, die ausschließlich auf Datendiebstahl zur Erpressung setzen, auf 6.182 Fälle. Das entspricht einem Plus von 23 Prozent gegenüber 2024.

Auch finanziell verschärfte sich die Lage deutlich. Die durchschnittliche Lösegeldzahlung erreichte im vierten Quartal 2025 rund 592.000 US-Dollar und lag damit 57 Prozent über dem Wert des dritten Quartals. Laut dem Quartalsbericht von Coveware ist dieser Anstieg vor allem auf einige besonders hohe Vergleichszahlungen zurückzuführen. Zugleich deutet sich an, dass Angreifer wieder stärker auf klassische Datenverschlüsselung setzen könnten, um den Druck auf betroffene Organisationen zu erhöhen und höhere Lösegelder durchzusetzen.

Was Reynolds so gefährlich macht

Die Integration von BYOVD-Techniken direkt in Ransomware markiert einen strategischen Wendepunkt. Angriffe bestehen nicht mehr aus klar getrennten Phasen wie Erstzugriff, Privilegienausweitung und anschließender Verschlüsselung, sondern verschmelzen zu einem einzigen, eng verzahnten Ablauf. Dadurch verkürzt sich das Zeitfenster für Erkennung und Reaktion erheblich. Sicherheitslösungen, die primär auf bekannte Signaturen oder nachgelagerte Verhaltensmuster reagieren, greifen in solchen Szenarien oft zu spät.

Besonders kritisch ist, dass missbrauchte, digital signierte Treiber auf Betriebssystemebene agieren. Wird über diese Ebene Sicherheitssoftware deaktiviert, verlieren nachgelagerte Schutzmechanismen ihre Wirksamkeit. Klassische Endpunktsicherheit allein genügt daher nicht mehr, weil sie genau in dem Moment ausgeschaltet werden kann, in dem sie eingreifen müsste.

Konsequenzen für Verteidigungsstrategien

Erforderlich sind mehrschichtige Verteidigungsstrategien, die bereits vor der Ausführung verdächtiger Treiber ansetzen. Dazu zählen strenge Richtlinien zur Treiberzulassung, kontinuierliche Integritätsprüfungen des Kernel-Bereichs sowie eine verhaltensbasierte Analyse privilegierter Prozesse. Ebenso wichtig ist die Fähigkeit, ungewöhnliche Prozessbeendigungen, Treiberinstallationen oder Manipulationen an Sicherheitsdiensten in Echtzeit zu erkennen und automatisiert zu unterbinden.

Parallel gewinnt die Netzwerkperspektive an Bedeutung. Frühzeitige Hinweise wie seitlich eingeschleuste Loader, unerwartete Fernzugriffsprogramme oder auffällige Kommunikationsmuster müssen konsequent korreliert werden, um Angriffe bereits in der Vorbereitungsphase zu stoppen. Ohne diese vorgelagerten Kontrollen besteht die Gefahr, dass moderne Ransomware-Familien Schutzmechanismen vollständig deaktivieren, bevor überhaupt eine Alarmierung erfolgt.

Die Entwicklung zeigt deutlich: Wirksame Abwehr entsteht heute nicht mehr durch ein einzelnes Sicherheitsprodukt, sondern nur durch ein eng integriertes Zusammenspiel aus Härtung, Überwachung und automatisierter Reaktion über Endpunkt, Kernel und Netzwerk hinweg.

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.