Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Ransomware Οικογένεια λυτρισμικού Osiris

Οικογένεια λυτρισμικού Osiris

Μέχρι το Mezo το Ransomware, Προηγμένη επίμονη απειλή (APT)
Μετάφραση σε:

Ερευνητές κυβερνοασφάλειας αποκάλυψαν μια προηγουμένως μη καταγεγραμμένη οικογένεια ransomware με την ονομασία Osiris, μετά από μια επίθεση εναντίον ενός μεγάλου φορέα εκμετάλλευσης franchise υπηρεσιών εστίασης στη Νοτιοανατολική Ασία τον Νοέμβριο του 2025. Η ανάλυση δείχνει ότι πρόκειται για ένα νεοαναπτυγμένο στέλεχος ransomware και δεν σχετίζεται με την παραλλαγή Osiris που παρατηρήθηκε τον Δεκέμβριο του 2016 και προήλθε από το Locky. Η ταυτότητα των προγραμματιστών παραμένει άγνωστη και δεν υπάρχει επιβεβαίωση ότι το κακόβουλο λογισμικό προσφέρεται ως μέρος μιας επιχείρησης Ransomware-as-a-Service.

Αλυσίδα Επίθεσης και Αρχική Συμβιβαστική Συμφωνία

Η πρώτη επιβεβαιωμένη κακόβουλη δραστηριότητα στο δίκτυο του θύματος αφορούσε την εξαγωγή ευαίσθητων δεδομένων πριν από την ανάπτυξη ransomware. Οι εισβολείς μετέφεραν πληροφορίες χρησιμοποιώντας το Rclone σε κάδους αποθήκευσης cloud που φιλοξενούνταν στο Wasabi. Αυτή η φάση ακολουθήθηκε από τη σταδιακή εισαγωγή εργαλείων για την εγκαθίδρυση ελέγχου, την πλευρική κίνηση και την προετοιμασία του περιβάλλοντος για κρυπτογράφηση.

Αξιοποιήθηκε μια ποικιλία υπηρεσιών κοινής ωφέλειας που αφορούσαν την αγροτική ζωή και διπλής χρήσης, μαζί με στοιχεία απομακρυσμένης διαχείρισης, για να ενσωματωθούν στην κανονική διοικητική δραστηριότητα και να ελαχιστοποιηθεί η έγκαιρη ανίχνευση.

Ύποπτοι σύνδεσμοι με επιχειρήσεις ransomware της INC

Αρκετοί δείκτες υποδηλώνουν πιθανή επικάλυψη με παράγοντες που είχαν σχέση προηγουμένως με το ransomware INC (γνωστό και ως Warble). Αξιοσημείωτο είναι ότι οι επιτιθέμενοι χρησιμοποίησαν μια έκδοση του Mimikatz που φέρει το ίδιο όνομα αρχείου, kaz.exe, το οποίο έχει παρατηρηθεί σε προηγούμενα περιστατικά που σχετίζονται με το INC. Επιπλέον, η υποδομή εκδιήθησης και η τεχνική του tradecraft αντικατοπτρίζουν στενά τις τεχνικές που είχαν αποδοθεί προηγουμένως σε αυτό το οικοσύστημα, αν και δεν έχει τεκμηριωθεί οριστική απόδοση.

Ο οδηγός POORTRY και οι τακτικές BYOVD

Ένα κεντρικό χαρακτηριστικό της εισβολής ήταν η ανάπτυξη ενός κακόβουλου προγράμματος οδήγησης γνωστού ως POORTRY, το οποίο χρησιμοποιείται σε μια επίθεση τύπου bring-your-own-vulnerable-driver (BYOVD) για την εξουδετέρωση των αμυντικών συστημάτων των τερματικών σημείων. Σε αντίθεση με τις παραδοσιακές λειτουργίες BYOVD που βασίζονται σε νόμιμα αλλά ελαττωματικά προγράμματα οδήγησης, το POORTRY είναι ένα πρόγραμμα οδήγησης ειδικά σχεδιασμένο για την αύξηση των δικαιωμάτων και τον τερματισμό εργαλείων ασφαλείας.

Το περιβάλλον προετοιμάστηκε περαιτέρω χρησιμοποιώντας το KillAV, ένα γνωστό βοηθητικό πρόγραμμα για τη φόρτωση ευάλωτων προγραμμάτων οδήγησης για την απενεργοποίηση προστατευτικού λογισμικού. Ενεργοποιήθηκε επίσης το Πρωτόκολλο Απομακρυσμένης Επιφάνειας Εργασίας, πιθανώς για να διευκολύνει τη συνεχή διαδραστική πρόσβαση.

Δυνατότητες του Osiris Ransomware

Το Osiris έχει περιγραφεί ως ένα ώριμο και αποτελεσματικό ωφέλιμο φορτίο κρυπτογράφησης, το οποίο πιθανότατα λειτουργεί από έμπειρους απειλητικούς παράγοντες. Υλοποιεί ένα υβριδικό κρυπτογραφικό μοντέλο και δημιουργεί ένα μοναδικό κλειδί κρυπτογράφησης για κάθε αρχείο, περιπλέκοντας σημαντικά τις προσπάθειες ανάκτησης. Το ransomware υποστηρίζει εκτεταμένη διαμόρφωση, επιτρέποντας στους χειριστές να προσαρμόζουν την εκτέλεση στο περιβάλλον του θύματος.

Βασικά λειτουργικά χαρακτηριστικά περιλαμβάνουν:

  • Διακοπή υπηρεσιών, τερματισμός διεργασιών και απενεργοποίηση αντιγράφων ασφαλείας ή μηχανισμών ανάκτησης.
  • Ορισμός στοχευμένων φακέλων και επεκτάσεων αρχείων και δημιουργία ενός προσαρμοσμένου σημειώματος λύτρων μετά την ολοκλήρωση.

Από προεπιλογή, το Osiris έχει ρυθμιστεί ώστε να τερματίζει επιθετικά τις διαδικασίες και τις υπηρεσίες που σχετίζονται με λογισμικό παραγωγικότητας, διακομιστές email, προγράμματα περιήγησης, προγράμματα επεξεργασίας κειμένου, Volume Shadow Copy και πλατφόρμες δημιουργίας αντιγράφων ασφαλείας επιχειρήσεων όπως το Veeam.

Εργαλεία που χρησιμοποιούνται για την υποστήριξη της εισβολής

Πέρα από το ίδιο το ransomware, οι επιτιθέμενοι βασίστηκαν σε μια εργαλειοθήκη αναγνώρισης, πλευρικής κίνησης και βοηθητικών προγραμμάτων απομακρυσμένης διαχείρισης για να διατηρήσουν τον επιχειρησιακό έλεγχο. Τα εργαλεία που παρατηρήθηκαν κατά την εισβολή περιελάμβαναν:

  • Netscan και Netexec για την ανακάλυψη και την εκτέλεση δικτύου.
  • MeshAgent και μια προσαρμοσμένη έκδοση της εφαρμογής απομακρυσμένης επιφάνειας εργασίας Rustdesk για μόνιμη απομακρυσμένη πρόσβαση.
  • Rclone για αυτοματοποιημένη εξαγωγή δεδομένων σε αποθήκευση στο cloud.

Επιπτώσεις για το εξελισσόμενο τοπίο εκβιασμού

Ενώ η κρυπτογράφηση ransomware συνεχίζει να αποτελεί σημαντικό κίνδυνο για τους οργανισμούς, αυτό το περιστατικό υπογραμμίζει μια ευρύτερη εξέλιξη προς πολύπλευρες εκστρατείες εκβιασμού. Η αυξανόμενη έμφαση στην κλοπή δεδομένων, η αποφυγή άμυνας μέσω κακόβουλων προγραμμάτων οδήγησης και η αυξανόμενη επικράτηση επιθέσεων χωρίς κρυπτογράφηση ή υβριδικών επιθέσεων διευρύνουν το τοπίο των απειλών. Ως αποτέλεσμα, το ransomware γίνεται απλώς ένα στοιχείο μέσα σε ένα ευρύτερο, πιο σύνθετο οικοσύστημα εκβιασμού που απαιτεί εξίσου προσαρμοστικές αμυντικές στρατηγικές.

Τάσεις

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
28,458
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...