Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Ransomware Família de ransomware Osiris

Família de ransomware Osiris

El Mezo el Ransomware, Amenaça persistent avançada (APT)
Traduir a:

Investigadors de ciberseguretat han revelat una família de ransomware indocumentada prèviament anomenada Osiris, després d'un atac contra un important operador de franquícies de serveis alimentaris al sud-est asiàtic el novembre de 2025. L'anàlisi indica que es tracta d'una soca de ransomware recentment desenvolupada i no està relacionada amb la variant Osiris observada el desembre de 2016 que es derivava de Locky. La identitat dels desenvolupadors continua sent desconeguda i no hi ha cap confirmació que el programari maliciós s'ofereixi com a part d'una operació de ransomware com a servei.

Cadena d’atac i compromís inicial

La primera activitat maliciosa confirmada a la xarxa de la víctima va ser l'exfiltració de dades sensibles abans del desplegament del ransomware. Els atacants van transferir informació mitjançant Rclone a dipòsits d'emmagatzematge al núvol allotjats a Wasabi. Aquesta fase va anar seguida de la introducció gradual d'eines per establir el control, moure's lateralment i preparar l'entorn per al xifratge.

Es va aprofitar una varietat de serveis públics de doble ús i relacionats amb la vida rural, juntament amb components de gestió remota, per integrar-se en l'activitat administrativa normal i minimitzar la detecció precoç.

Enllaços sospitosos amb operacions de ransomware de l’INC

Diversos indicadors suggereixen una possible superposició amb actors anteriorment associats amb el ransomware INC (també conegut com a Warble). Cal destacar que els atacants van utilitzar una versió de Mimikatz amb el mateix nom de fitxer, kaz.exe, que s'ha observat en incidents anteriors relacionats amb l'INC. A més, la infraestructura d'exfiltració i les tècniques comercials reflecteixen de prop les tècniques atribuïdes anteriorment a aquest ecosistema, tot i que no s'ha establert cap atribució definitiva.

El conductor POORTRY i les tàctiques BYOVD

Una característica central de la intrusió va ser el desplegament d'un controlador maliciós conegut com a POORTRY, utilitzat en un atac d'estil BYOVD (bring-your-own-vulnerable-driver) per neutralitzar les defenses dels endpoints. A diferència de les operacions BYOVD tradicionals que es basen en controladors legítims però defectuosos, POORTRY és un controlador a mida dissenyat específicament per elevar privilegis i tancar eines de seguretat.

L'entorn es va preparar a més utilitzant KillAV, una utilitat coneguda per carregar controladors vulnerables per desactivar programari de protecció. També es va habilitar el protocol d'escriptori remot, probablement per facilitar l'accés interactiu persistent.

Capacitats del ransomware Osiris

Osiris s'ha descrit com una càrrega útil de xifratge madura i eficaç, probablement operada per actors d'amenaces experimentats. Implementa un model criptogràfic híbrid i genera una clau de xifratge única per a cada fitxer, cosa que complica significativament els esforços de recuperació. El ransomware admet una configuració extensa, cosa que permet als operadors ajustar l'execució a l'entorn de la víctima.

Les característiques funcionals clau inclouen:

  • Aturar serveis, finalitzar processos i desactivar còpies de seguretat o mecanismes de recuperació.
  • Definició de carpetes i extensions de fitxer de destinació i generació d'una nota de rescat personalitzada en finalitzar.

Per defecte, Osiris està configurat per finalitzar de manera agressiva els processos i serveis associats amb programari de productivitat, servidors de correu electrònic, navegadors, editors de text, Volume Shadow Copy i plataformes de còpia de seguretat empresarial com ara Veeam.

Eines utilitzades per donar suport a la intrusió

Més enllà del ransomware en si, els atacants es van basar en un conjunt d'eines de reconeixement, moviment lateral i utilitats de gestió remota per mantenir el control operatiu. Les eines observades durant la intrusió van incloure:

  • Netscan i Netexec per a la descoberta i execució de xarxes.
  • MeshAgent i una versió personalitzada de l'aplicació d'escriptori remot Rustdesk per a accés remot persistent.
  • Rclone per a l'exfiltració automatitzada de dades a l'emmagatzematge al núvol.

Implicacions per al panorama de l’extorsió en evolució

Tot i que el xifratge del ransomware continua representant un risc significatiu per a les organitzacions, aquest incident posa de manifest una evolució més àmplia cap a campanyes d'extorsió multifacètiques. L'èmfasi creixent en el robatori de dades, l'evasió de la defensa mitjançant controladors maliciosos i la creixent prevalença d'atacs sense xifratge o híbrids estan ampliant el panorama d'amenaces. Com a resultat, el ransomware s'està convertint en només un component dins d'un ecosistema d'extorsió més ampli i complex que exigeix estratègies defensives igualment adaptatives.

Tendència

Més vist

Carregant...