Rodina ransomwaru Osiris

Výzkumníci v oblasti kybernetické bezpečnosti odhalili dříve nezdokumentovanou rodinu ransomwaru s názvem Osiris po útoku na významného provozovatele franšízy stravovacích služeb v jihovýchodní Asii v listopadu 2025. Analýza naznačuje, že se jedná o nově vyvinutý kmen ransomwaru, který nesouvisí s variantou Osiris pozorovanou v prosinci 2016, jež byla odvozena od Locky. Identita vývojářů zůstává neznámá a neexistuje žádné potvrzení, že je malware nabízen jako součást operace Ransomware-as-a-Service.

Řetězec útoků a počáteční kompromitace

Nejdříve potvrzená škodlivá aktivita v síti oběti zahrnovala únik citlivých dat před nasazením ransomwaru. Útočníci přenesli informace pomocí nástroje Rclone do cloudových úložišť hostovaných na Wasabi. Po této fázi následovalo postupné zavádění nástrojů pro zajištění kontroly, laterální postup a přípravu prostředí pro šifrování.

Byla využita řada zařízení pro živobytí z půdy a dvojího využití, spolu s komponenty vzdálené správy, aby se začlenily do běžné administrativní činnosti a minimalizovalo se včasné odhalení.

Podezřelé propojení s operacemi ransomwaru INC

Několik ukazatelů naznačuje možné překrývání s aktéry dříve spojovanými s ransomwarem INC (známým také jako Warble). Útočníci použili verzi Mimikatz se stejným názvem souboru, kaz.exe, která byla pozorována v dřívějších incidentech souvisejících s INC. Infrastruktura pro exfiltraci a obchodní techniky navíc velmi věrně odrážejí techniky dříve připisované tomuto ekosystému, ačkoli nebylo stanoveno žádné definitivní přiřazení.

Řidič CHUDOBNOSTI a taktika BYOVD

Ústředním rysem útoku bylo nasazení škodlivého ovladače známého jako POORTRY, který byl použit v útoku typu „přines si vlastní zranitelný ovladač“ (BYOVD) k neutralizaci obranných mechanismů koncových bodů. Na rozdíl od tradičních operací BYOVD, které se spoléhají na legitimní, ale chybné ovladače, je POORTRY ovladač na míru navržený speciálně pro zvýšení oprávnění a ukončení bezpečnostních nástrojů.

Prostředí bylo dále připraveno pomocí KillAV, známého nástroje pro načítání zranitelných ovladačů za účelem deaktivace ochranného softwaru. Byl také povolen protokol Remote Desktop Protocol, pravděpodobně pro usnadnění trvalého interaktivního přístupu.

Schopnosti ransomwaru Osiris

Osiris byl popisován jako zralý a efektivní šifrovací nástroj, pravděpodobně provozovaný zkušenými hackery. Implementuje hybridní kryptografický model a generuje jedinečný šifrovací klíč pro každý soubor, což výrazně komplikuje proces obnovy. Ransomware podporuje rozsáhlou konfiguraci, která umožňuje operátorům jemně doladit jeho provádění s ohledem na prostředí oběti.

Mezi klíčové funkční vlastnosti patří:

• Zastavení služeb, ukončení procesů a deaktivace záloh nebo mechanismů obnovy.
• Definování cílových složek a přípon souborů a po dokončení generování přizpůsobené žádosti o výkupné.

Ve výchozím nastavení je Osiris nakonfigurován tak, aby agresivně ukončoval procesy a služby spojené s produktivním softwarem, e-mailovými servery, prohlížeči, textovými editory, Volume Shadow Copy a podnikovými zálohovacími platformami, jako je Veeam.

Nástroje použité k podpoře vniknutí

Kromě samotného ransomwaru se útočníci spoléhali na sadu nástrojů pro průzkum, laterální přesun a vzdálenou správu, aby si udrželi kontrolu nad provozem. Mezi nástroje pozorované během útoku patřily:

• Netscan a Neexec pro vyhledávání a spouštění v síti.
• MeshAgent a upravená verze aplikace Rustdesk pro vzdálený přístup k datům.
• Rclone pro automatizovaný přenos dat do cloudového úložiště.

Důsledky pro vyvíjející se prostředí vydírání

Přestože šifrovací ransomware i nadále představuje pro organizace značné riziko, tento incident zdůrazňuje širší vývoj směrem k mnohostranným vydírácím kampaním. Rostoucí důraz na krádeže dat, obcházení obrany pomocí škodlivých ovladačů a rostoucí výskyt nešifrovaných nebo hybridních útoků rozšiřují škálu hrozeb. V důsledku toho se ransomware stává pouze jednou součástí širšího a komplexnějšího ekosystému vydírání, který vyžaduje stejně adaptivní obranné strategie.