Osirise lunavara perekond
Küberturvalisuse uurijad on pärast 2025. aasta novembris Kagu-Aasias suure toitlustusfrantsiisi operaatori vastu suunatud rünnakut paljastanud varem dokumenteerimata lunavara perekonna nimega Osiris. Analüüs näitab, et tegemist on äsja väljatöötatud lunavara tüvega ega ole seotud 2016. aasta detsembris täheldatud Osirise variandiga, mis pärines Lockyst. Arendajate identiteet on teadmata ja pole kinnitust, et pahavara pakutakse osana lunavara-teenusena operatsioonist.
Sisukord
Rünnakuahel ja esialgne kompromiss
Varaseim kinnitatud pahatahtlik tegevus ohvri võrgus hõlmas tundlike andmete väljafiltreerimist enne lunavara juurutamist. Ründajad edastasid teavet Rclone'i abil Wasabi pilvesalvestusämbritesse. Sellele etapile järgnes järkjärguline tööriistade kasutuselevõtt kontrolli loomiseks, horisontaalseks liikumiseks ja keskkonna krüptimiseks ettevalmistamiseks.
Tavapärase haldustegevusega sulandumiseks ja varajase avastamise minimeerimiseks kasutati mitmesuguseid maast eraldi elamise ja kaheotstarbelisi kommunaalteenuseid koos kaughalduskomponentidega.
Kahtlustatavad seosed INC lunavaraoperatsioonidega
Mitmed näitajad viitavad võimalikule kattumisele osalistega, keda varem seostati INC lunavaraga (tuntud ka kui Warble). Märkimisväärne on see, et ründajad kasutasid sama failinimega Mimikatzi versiooni, kaz.exe, mida on täheldatud varasemates INC-ga seotud intsidentides. Lisaks peegeldavad väljafiltreerimise infrastruktuur ja kaubanduslik meetod täpselt tehnikaid, mida varem sellele ökosüsteemile omistati, kuigi lõplikku omistamist pole veel kindlaks tehtud.
Poortry juht ja BYOVD taktika
Sissetungi keskseks tunnuseks oli pahatahtliku draiveri POORTRY juurutamine, mida kasutati oma haavatava draiveri omandamise (BYOVD) stiilis rünnakus lõpp-punkti kaitse neutraliseerimiseks. Erinevalt traditsioonilistest BYOVD-toimingutest, mis tuginevad õigustatud, kuid vigastele draiveritele, on POORTRY spetsiaalselt loodud draiver privileegide suurendamiseks ja turvatööriistade sulgemiseks.
Keskkonda valmistati edasi ette KillAV-i abil, mis on tuntud utiliit haavatavate draiverite laadimiseks ja kaitsva tarkvara keelamiseks. Samuti lubati kaugtöölaua protokoll (Remote Desktop Protocol), mis tõenäoliselt hõlbustab püsivat interaktiivset juurdepääsu.
Osirise lunavara võimalused
Osirist on kirjeldatud kui küpset ja tõhusat krüpteerimisressurssi, mida tõenäoliselt haldavad kogenud ohutegijad. See rakendab hübriidset krüptograafilist mudelit ja genereerib iga faili jaoks unikaalse krüpteerimisvõtme, mis raskendab oluliselt taastamispüüdlusi. Lunavara toetab ulatuslikku konfigureerimist, mis võimaldab operaatoritel ohvri keskkonnale vastavaks häälestada.
Peamised funktsionaalsed omadused on järgmised:
- Teenuste peatamine, protsesside lõpetamine ja varundamise või taastamismehhanismide keelamine.
- Sihtkaustade ja faililaiendite määratlemine ning pärast toimingu lõpetamist kohandatud lunarahanõude genereerimine.
Vaikimisi on Osiris konfigureeritud agressiivselt lõpetama protsesse ja teenuseid, mis on seotud tootlikkustarkvara, e-posti serverite, brauserite, tekstiredaktorite, Volume Shadow Copy ja ettevõtte varundusplatvormidega (nt Veeam).
Sissetungi toetamiseks kasutatavad tööriistad
Lisaks lunavarale endale kasutasid ründajad operatiivse kontrolli säilitamiseks luure-, külgliikumis- ja kaughaldustööriistu. Sissetungi ajal täheldatud tööriistade hulka kuulusid:
- Netscan ja Netexec võrgu avastamiseks ja käivitamiseks.
- MeshAgent ja Rustdeski kaugtöölaua rakenduse kohandatud versioon püsiva kaugjuurdepääsu tagamiseks.
- Rclone automaatseks andmete väljavooluks pilvesalvestusse.
Mõju arenevale väljapressimismaastikule
Kuigi lunavara krüpteerimine kujutab endast organisatsioonidele jätkuvalt märkimisväärset ohtu, toob see intsident esile laiema arengu mitmetahuliste väljapressimiskampaaniate suunas. Üha suurem rõhk andmevargustele, kaitsest kõrvalehoidmisele pahatahtlike draiverite abil ja krüpteerimata või hübriidrünnakute kasvav levimus laiendavad ohumaastikku. Selle tulemusena on lunavarast saamas vaid üks komponent laiemas ja keerukamas väljapressimisökosüsteemis, mis nõuab samavõrd kohanemisvõimelisi kaitsestrateegiaid.
