มัลแวร์เรียกค่าไถ่ "Reynolds" ตัวอันตรายใหม่ปี 2026

ปลดอาวุธแอนตี้ไวรัสด้วยเทคนิค BYOVD ก่อนเข้ารหัสข้อมูล

วันที่รายงาน: 17 กุมภาพันธ์ 2026
ประเภทภัยคุกคาม: Ransomware (มัลแวร์เรียกค่าไถ่)
เทคนิคหลัก: Bring Your Own Vulnerable Driver (BYOVD)

รายละเอียดการค้นพบและการแพร่ระบาด
นักวิจัยด้านความปลอดภัยจาก Broadcom (Symantec) และ Flare ได้ตรวจพบมัลแวร์เรียกค่าไถ่สายพันธุ์ใหม่ชื่อว่า "Reynolds" เริ่มอาละวาดในช่วงต้นเดือนกุมภาพันธ์ 2026 โดยในเบื้องต้นนักวิเคราะห์สันนิษฐานว่าเป็นปฏิบัติการของกลุ่ม Black Basta เนื่องจากมีรูปแบบการเจาะระบบที่คล้ายกัน แต่จากการตรวจสอบ Payload อย่างละเอียดพบว่าเป็นมัลแวร์ตระกูลใหม่ที่มีความซับซ้อนเฉพาะตัวสูง

อาวุธลับ: การโจมตีระดับ Kernel ผ่านช่องโหว่ CVE-2025-68947
ความน่ากลัวที่สุดของ Reynolds คือการใช้เทคนิค BYOVD ซึ่งมัลแวร์จะนำไฟล์ไดรเวอร์ที่ชื่อว่า NSecKrnl.sys (ของบริษัท NsecSoft) เข้ามาติดตั้งในเครื่องเหยื่อ:
    •    ความชอบธรรม: ไดรเวอร์นี้มีการลงนามดิจิทัล (Digital Signature) ถูกต้อง ทำให้ระบบ Windows ไม่สงสัย
    •    ช่องโหว่: มัลแวร์จะใช้ช่องโหว่รหัส CVE-2025-68947 ในการสั่งการระดับ Kernel เพื่อ "สั่งฆ่า" (Terminate) กระบวนการทำงานใดๆ ก็ได้ในเครื่อง โดยข้ามพ้นระบบ Password Protection หรือ Tamper Protection ของแอนตี้ไวรัส

รายชื่อเป้าหมาย "Kill List" ของระบบความปลอดภัย
Reynolds ถูกออกแบบมาเพื่อทำลาย "ตาและหู" ของระบบป้องกันก่อนเริ่มการเข้ารหัสไฟล์ โดยแบรนด์ที่ถูกระบุใน Code ว่าจะถูกสั่งปิดการทำงานทันทีประกอบด้วย:
    •    CrowdStrike Falcon
    •    Sophos Endpoint
    •    SentinelOne
    •    Microsoft Defender
    •    Symantec Endpoint Protection
    •    Palo Alto Networks (Cortex XDR)
    •    แบรนด์อื่นๆ เช่น ESET, Avast และ Malwarebytes

พฤติกรรมการเข้ารหัสและเครื่องมือสนับสนุน
    •    Standalone Payload: แตกต่างจากมัลแวร์เรียกค่าไถ่อื่นที่ต้องโหลดเครื่องมือเสริมมาปิดแอนตี้ไวรัส แต่ Reynolds รวมทุกอย่างไว้ในไฟล์เดียว ทำให้ตรวจจับได้ยากขึ้น
    •    การควบคุมทางไกล: พบการใช้เครื่องมือ GotoHTTP เพื่อรักษาช่องทางการเข้าถึง (Persistence) หลังจากระบบป้องกันถูกทำลาย
    •    ผลลัพธ์: ไฟล์ที่ถูกเข้ารหัสจะถูกเปลี่ยนนามสกุลเป็น .locked และทิ้งข้อความเรียกค่าไถ่ไว้ในทุกโฟลเดอร์

วิเคราะห์ความเสี่ยงในเชิงธุรกิจ
กลุ่มนักพัฒนามัลแวร์ Reynolds พยายามสร้างจุดขายให้กลุ่มพันธมิตร (Affiliates) โดยการทำให้มัลแวร์ "ใช้งานง่ายและสำเร็จรูป" การรวมเอาฟีเจอร์การปิดระบบความปลอดภัยไว้ในตัว ทำให้คนร้ายระดับล่างสามารถโจมตีองค์กรใหญ่ที่มีระบบป้องกันหนาแน่นได้ง่ายขึ้น ส่งผลให้ความเสี่ยงต่อภาคธุรกิจเพิ่มสูงขึ้นอย่างรวดเร็วในปีนี้

🛡️ ข้อแนะนำในการป้องกันเบื้องต้น
1.    Block Driver: ตั้งค่านโยบายใน EDR/MDR เพื่อบล็อกการโหลดไดรเวอร์ NSecKrnl.sys ทันที
2.    Vulnerable Driver Blocklist: อัปเดตรายชื่อไดรเวอร์อันตรายใน Microsoft Windows Defender หรือนโยบายกลุ่ม (GPO)
3.    Monitor IOCTL: เฝ้าระวังพฤติกรรมการเรียกใช้ IOCTL ที่ผิดปกติไปยังไดรเวอร์ในระดับ Kernel

อ้างอิง : https://securityaffairs.com/187869/security/reynolds-ransomware-uses-byovd-to-disable-security-before-encryption.html