Osiris Ransomware Family

كشف باحثون في مجال الأمن السيبراني عن عائلة برامج فدية غير موثقة سابقًا تُدعى أوزيريس، وذلك عقب هجوم استهدف شركة امتياز كبرى لخدمات الطعام في جنوب شرق آسيا في نوفمبر 2025. وتشير التحليلات إلى أن هذه سلالة جديدة من برامج الفدية، ولا علاقة لها بنسخة أوزيريس التي رُصدت في ديسمبر 2016 والمشتقة من برنامج لوكي. ولا تزال هوية مطوري البرنامج مجهولة، ولم يُؤكد بعد ما إذا كان يُقدم كجزء من خدمة برامج الفدية.

سلسلة الهجوم والاختراق الأولي

تمثلت أولى الأنشطة الخبيثة المؤكدة على شبكة الضحية في تسريب بيانات حساسة قبل نشر برامج الفدية. قام المهاجمون بنقل المعلومات باستخدام برنامج Rclone إلى مساحات تخزين سحابية مستضافة على منصة Wasabi. تبعت هذه المرحلة عملية إدخال تدريجية لأدوات تمكّن المهاجمين من السيطرة على الشبكة، والتنقل داخلها، وإعداد بيئة التشفير.

تم الاستفادة من مجموعة متنوعة من المرافق التي تعتمد على العيش من الأرض والمرافق ذات الاستخدام المزدوج، إلى جانب مكونات الإدارة عن بعد، للاندماج في النشاط الإداري العادي وتقليل الكشف المبكر.

روابط مشتبه بها بعمليات برامج الفدية التابعة لشركة INC

تشير عدة مؤشرات إلى احتمال وجود تداخل مع جهات فاعلة سبق ربطها ببرنامج الفدية INC (المعروف أيضًا باسم Warble). والجدير بالذكر أن المهاجمين استخدموا نسخة من برنامج Mimikatz تحمل نفس اسم الملف، kaz.exe، والذي لوحظ في حوادث سابقة مرتبطة ببرنامج INC. بالإضافة إلى ذلك، فإن بنية استخراج البيانات وأساليب العمل تُحاكي بشكل كبير التقنيات التي نُسبت سابقًا إلى هذا النظام، على الرغم من عدم تحديد جهة فاعلة بشكل قاطع.

تكتيكات سائق الفقراء وحمل السيارة الخاصة

تمثلت إحدى السمات الرئيسية للاختراق في نشر برنامج تشغيل خبيث يُعرف باسم POORTRY، والذي استُخدم في هجوم من نوع "إحضار برنامج تشغيل خاص بك" (BYOVD) لتحييد دفاعات نقاط النهاية. وعلى عكس عمليات BYOVD التقليدية التي تعتمد على برامج تشغيل شرعية ولكنها معيبة، فإن POORTRY هو برنامج تشغيل مُصمم خصيصًا لرفع مستوى الصلاحيات وتعطيل أدوات الأمان.

تم تجهيز البيئة بشكل إضافي باستخدام برنامج KillAV، وهو أداة معروفة لتحميل برامج التشغيل المعرضة للاختراق بهدف تعطيل برامج الحماية. كما تم تفعيل بروتوكول سطح المكتب البعيد، على الأرجح لتسهيل الوصول التفاعلي المستمر.

قدرات برنامج الفدية أوزيريس

وُصِفَ برنامج الفدية "أوزيريس" بأنه برنامج تشفير متطور وفعال، يُرجَّح أن يُشغِّله مُهاجمون مُتمرسون. يُطبِّق البرنامج نموذج تشفير هجينًا ويُولِّد مفتاح تشفير فريدًا لكل ملف، مما يُعقِّد جهود الاسترداد بشكل كبير. يدعم برنامج الفدية هذا إعدادات مُوسَّعة، مما يسمح للمُشغِّلين بضبط التنفيذ بدقة ليتناسب مع بيئة الضحية.

تشمل الميزات الوظيفية الرئيسية ما يلي:

• إيقاف الخدمات، وإنهاء العمليات، وتعطيل آليات النسخ الاحتياطي أو الاسترداد.
• تحديد المجلدات المستهدفة وامتدادات الملفات، وإنشاء رسالة فدية مخصصة عند الانتهاء.

بشكل افتراضي، تم تكوين Osiris لإنهاء العمليات والخدمات المرتبطة ببرامج الإنتاجية وخوادم البريد الإلكتروني والمتصفحات ومحررات النصوص ونسخ الظل لوحدة التخزين ومنصات النسخ الاحتياطي للمؤسسات مثل Veeam بشكل فعال.

الأدوات المستخدمة لدعم عملية الاختراق

إلى جانب برنامج الفدية نفسه، اعتمد المهاجمون على مجموعة أدوات للاستطلاع والتنقل الجانبي وأدوات الإدارة عن بُعد للحفاظ على السيطرة التشغيلية. وشملت الأدوات التي تم رصدها أثناء الاختراق ما يلي:

• Netscan و Netexec لاكتشاف الشبكة وتنفيذها.
• MeshAgent ونسخة مخصصة من تطبيق سطح المكتب البعيد Rustdesk للوصول عن بعد بشكل دائم.
• Rclone لاستخراج البيانات تلقائيًا إلى التخزين السحابي.

الآثار المترتبة على المشهد المتطور للابتزاز

في حين أن برامج الفدية المشفرة لا تزال تشكل خطراً كبيراً على المؤسسات، فإن هذه الحادثة تسلط الضوء على تطور أوسع نطاقاً نحو حملات ابتزاز متعددة الأوجه. فالتركيز المتزايد على سرقة البيانات، والتحايل على أنظمة الحماية عبر برامج خبيثة، وانتشار الهجمات الهجينة أو غير المشفرة، كلها عوامل تُوسع نطاق التهديدات. ونتيجة لذلك، أصبحت برامج الفدية مجرد عنصر واحد ضمن منظومة ابتزاز أوسع وأكثر تعقيداً، تتطلب استراتيجيات دفاعية قابلة للتكيف بنفس القدر.