Rabattilbud med flere licenser
Trusseldatabase Ransomware Osiris Ransomware-familien

Osiris Ransomware-familien

Med Mezo i Ransomware, Advanced Persistent Threat (APT)
Oversæt til:

Cybersikkerhedsforskere har afsløret en tidligere udokumenteret ransomware-familie kaldet Osiris efter et angreb mod en stor fødevarevirksomhedsfranchiseoperatør i Sydøstasien i november 2025. Analyser tyder på, at dette er en nyudviklet ransomware-stamme og ikke relateret til Osiris-varianten, der blev observeret i december 2016, og som var afledt af Locky. Udviklernes identitet er fortsat ukendt, og der er ingen bekræftelse på, at malwaren tilbydes som en del af en Ransomware-as-a-Service-operation.

Angrebskæde og indledende kompromis

Den tidligste bekræftede ondsindede aktivitet på offerets netværk involverede udpakning af følsomme data før ransomware-udrulning. Angribere overførte information ved hjælp af Rclone til cloud-lagringsplatforme hostet på Wasabi. Denne fase blev efterfulgt af en gradvis introduktion af værktøjer til at etablere kontrol, bevæge sig lateralt og forberede miljøet til kryptering.

En række forskellige forsyningsvirksomheder med mulighed for at leve uden for jorden og bruge begge dele blev udnyttet, sammen med komponenter til fjernstyring, for at integreres i den normale administrative aktivitet og minimere tidlig opdagelse.

Mistanke om links til INC ransomware-operationer

Flere indikatorer tyder på potentiel overlapning med aktører, der tidligere var forbundet med INC-ransomwaren (også kendt som Warble). Især brugte angriberne en version af Mimikatz med samme filnavn, kaz.exe, som er blevet observeret i tidligere INC-relaterede hændelser. Derudover afspejler eksfiltreringsinfrastrukturen og handelshåndværket nøje teknikker, der tidligere er tilskrevet dette økosystem, selvom der ikke er fastslået nogen endelig tilskrivning.

POORTRY-chaufføren og BYOVD-taktikker

Et centralt element i indbruddet var implementeringen af en ondsindet driver kendt som POORTRY, der blev brugt i et BYOVD-lignende angreb (bring-your-own-vulnerable-driver) for at neutralisere endpoint-forsvar. I modsætning til traditionelle BYOVD-operationer, der er afhængige af legitime, men mangelfulde drivere, er POORTRY en skræddersyet driver, der er udviklet specifikt til at øge privilegier og afslutte sikkerhedsværktøjer.

Miljøet blev yderligere forberedt ved hjælp af KillAV, et kendt værktøj til at indlæse sårbare drivere for at deaktivere beskyttende software. Remote Desktop Protocol blev også aktiveret, sandsynligvis for at muliggøre vedvarende interaktiv adgang.

Osiris Ransomwares muligheder

Osiris er blevet beskrevet som en moden og effektiv krypteringsnyttelast, sandsynligvis betjent af erfarne trusselsaktører. Den implementerer en hybrid kryptografisk model og genererer en unik krypteringsnøgle for hver fil, hvilket komplicerer gendannelsesindsatsen betydeligt. Ransomwaren understøtter omfattende konfiguration, hvilket giver operatører mulighed for at finjustere udførelsen til offermiljøet.

Vigtige funktionelle funktioner inkluderer:

  • Stop af tjenester, afslutning af processer og deaktivering af sikkerhedskopier eller gendannelsesmekanismer.
  • Definering af målrettede mapper og filtypenavne og generering af en tilpasset løsesumsnota efter afslutning.

Som standard er Osiris konfigureret til aggressivt at afslutte processer og tjenester, der er forbundet med produktivitetssoftware, e-mailservere, browsere, teksteditorer, Volume Shadow Copy og sikkerhedskopieringsplatforme til virksomheder som Veeam.

Værktøj brugt til at understøtte indtrængen

Ud over selve ransomware-virusset benyttede angriberne sig af et værktøjssæt bestående af rekognoscering, lateral bevægelse og fjernstyringsværktøjer for at opretholde operationel kontrol. Værktøjerne, der blev observeret under indtrængen, omfattede:

  • Netscan og Netexec til netværksopdagelse og -udførelse.
  • MeshAgent og en tilpasset version af Rustdesk-fjernskrivebordsapplikationen til vedvarende fjernadgang.
  • Rclone til automatiseret dataeksfiltrering til cloudlagring.

Implikationer for det udviklende afpresningslandskab

Selvom kryptering af ransomware fortsat udgør en betydelig risiko for organisationer, fremhæver denne hændelse en bredere udvikling mod mangesidede afpresningskampagner. Den stigende vægt på datatyveri, forsvarsunddragelse gennem ondsindede drivere og den voksende forekomst af krypteringsløse eller hybride angreb udvider trusselsbilledet. Som et resultat heraf er ransomware blot ved at blive én komponent i et bredere, mere komplekst afpresningsøkosystem, der kræver lige så adaptive forsvarsstrategier.

Trending

Mest sete

Indlæser...