Оферта за отстъпка за множество лицензи
База данни за заплахи Ransomware Семейство рансъмуер Osiris

Семейство рансъмуер Osiris

До Mezo през Ransomware, Усъвършенствана постоянна заплаха (APT)г
Превод на:

Изследователи по киберсигурност разкриха досега недокументирано семейство рансъмуер вируси, наречено Osiris, след атака срещу голям оператор на франчайз за хранителни услуги в Югоизточна Азия през ноември 2025 г. Анализът показва, че това е новоразработен щам на рансъмуер вирус, който не е свързан с варианта Osiris, наблюдаван през декември 2016 г., който произлиза от Locky. Самоличността на разработчиците остава неизвестна и няма потвърждение, че зловредният софтуер се предлага като част от операция „Ransomware-as-a-Service“.

Верига от атаки и първоначален компрометиращ риск

Най-ранната потвърдена злонамерена активност в мрежата на жертвата включваше извличане на чувствителни данни преди внедряването на ransomware. Нападателите прехвърлиха информация, използвайки Rclone, към облачни хранилища, хоствани на Wasabi. Тази фаза беше последвана от поетапно въвеждане на инструменти за установяване на контрол, странично придвижване и подготовка на средата за криптиране.

Разнообразие от комунални услуги за препитание от земята и с двойно предназначение бяха използвани, заедно с компоненти за дистанционно управление, за да се слеят с нормалната административна дейност и да се сведе до минимум ранното откриване.

Подозирани връзки към операции с рансъмуер на INC

Няколко индикатора предполагат потенциално припокриване с участници, свързани преди това с рансъмуер вируса INC (известен също като Warble). Забележително е, че нападателите са използвали версия на Mimikatz със същото име на файл, kaz.exe, което е било наблюдавано при по-ранни инциденти, свързани с INC. Освен това инфраструктурата за извличане на информация и търговските техники са много близки до техниките, приписвани преди това на тази екосистема, въпреки че не е установена окончателна атрибуция.

Шофьорът на БЕДНОСТТА и тактиките „BYOVD“

Централна характеристика на проникването беше внедряването на зловреден драйвер, известен като POORTRY, използван в атака от типа „донеси свой собствен уязвим драйвер“ (BYOVD) за неутрализиране на защитите на крайните точки. За разлика от традиционните BYOVD операции, които разчитат на легитимни, но дефектни драйвери, POORTRY е драйвер, проектиран специално за повишаване на привилегиите и прекратяване на инструменти за сигурност.

Средата беше допълнително подготвена с помощта на KillAV, известна помощна програма за зареждане на уязвими драйвери за деактивиране на защитен софтуер. Протоколът за отдалечен работен плот също беше активиран, вероятно за улесняване на постоянен интерактивен достъп.

Възможности на рансъмуера Osiris

Osiris е описан като зрял и ефективен криптиращ инструмент, вероятно управляван от опитни злонамерени лица. Той внедрява хибриден криптографски модел и генерира уникален ключ за криптиране за всеки файл, което значително усложнява усилията за възстановяване. Рансъмуерът поддържа обширна конфигурация, позволявайки на операторите да настройват фино изпълнението спрямо средата на жертвата.

Ключовите функционални характеристики включват:

  • Спиране на услуги, прекратяване на процеси и деактивиране на резервни копия или механизми за възстановяване.
  • Дефиниране на целеви папки и файлови разширения и генериране на персонализирано съобщение за откуп след завършване.

По подразбиране Osiris е конфигуриран да прекратява агресивно процеси и услуги, свързани със софтуер за продуктивност, имейл сървъри, браузъри, текстови редактори, Volume Shadow Copy и корпоративни платформи за архивиране, като например Veeam.

Инструменти, използвани за поддържане на проникването

Освен самия ransomware, нападателите са разчитали на набор от инструменти за разузнаване, странично придвижване и дистанционно управление, за да поддържат оперативен контрол. Инструментите, наблюдавани по време на проникването, включват:

  • Netscan и Neexec за откриване и изпълнение на мрежови команди.
  • MeshAgent и персонализирана версия на приложението за отдалечен работен плот Rustdesk за постоянен отдалечен достъп.
  • Rclone за автоматизирано извличане на данни към облачно хранилище.

Последици за развиващия се пейзаж на изнудването

Въпреки че криптиращият ransomware продължава да представлява значителен риск за организациите, този инцидент подчертава по-широка еволюция към многостранни кампании за изнудване. Нарастващият акцент върху кражбата на данни, заобикалянето на защитата чрез злонамерени драйвери и нарастващото разпространение на атаки без криптиране или хибридни атаки разширяват пейзажа на заплахите. В резултат на това ransomware се превръща само в един компонент в по-широка и по-сложна екосистема от изнудване, която изисква еднакво адаптивни защитни стратегии.

Тенденция

Axischainedge.com

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Постоянното предпазване при сърфиране в мрежата е от решаващо значение. Измамните уебсайтове са създадени да експлоатират невниманието и любопитството, често разчитайки на измамни тактики, като...

Най-гледан

Зловреден софтуер

Фишинг, Спам
28,458
Съобщението за измама „Apple Pay Suspended“ е вид фишинг тактика, насочена към потребителите на Apple Pay. Съобщението твърди, че портфейлът на Apple Pay на потребителя е спрян и ги призовава да кликнат върху връзка, за да го възстановят. Щракването върху връзката обаче ще отведе потребителя до фалшив уебсайт, който е предназначен да открадне тяхната лична и финансова информация. Ако потребител...
Зареждане...