خانواده باج‌افزار Osiris

محققان امنیت سایبری پس از حمله‌ای علیه یک اپراتور بزرگ خدمات غذایی در جنوب شرقی آسیا در نوامبر ۲۰۲۵، یک خانواده باج‌افزار با نام Osiris را که قبلاً مستند نشده بود، کشف کردند. تجزیه و تحلیل‌ها نشان می‌دهد که این یک گونه باج‌افزار جدید است و ارتباطی با نوع Osiris مشاهده شده در دسامبر ۲۰۱۶ که از Locky مشتق شده بود، ندارد. هویت توسعه‌دهندگان ناشناخته است و هیچ تأییدی وجود ندارد که این بدافزار به عنوان بخشی از عملیات Ransomware-as-a-Service ارائه می‌شود.

زنجیره حمله و نفوذ اولیه

اولین فعالیت مخرب تایید شده در شبکه قربانی شامل استخراج داده‌های حساس قبل از استقرار باج‌افزار بود. مهاجمان اطلاعات را با استفاده از Rclone به مخازن ذخیره‌سازی ابری میزبانی شده در Wasabi منتقل کردند. پس از این مرحله، ابزارهایی برای ایجاد کنترل، حرکت جانبی و آماده‌سازی محیط برای رمزگذاری به صورت مرحله‌ای معرفی شدند.

انواع تأسیسات مسکونی خارج از زمین و دومنظوره، به همراه اجزای مدیریت از راه دور، برای ادغام در فعالیت‌های اداری عادی و به حداقل رساندن تشخیص زودهنگام، به کار گرفته شدند.

پیوندهای مشکوک به عملیات باج‌افزار INC

چندین شاخص نشان‌دهنده‌ی همپوشانی بالقوه با عاملانی است که قبلاً با باج‌افزار INC (که با نام Warble نیز شناخته می‌شود) مرتبط بوده‌اند. نکته‌ی قابل توجه این است که مهاجمان از نسخه‌ی Mimikatz با همان نام فایل، kaz.exe، استفاده کرده‌اند که در حوادث قبلی مرتبط با INC مشاهده شده است. علاوه بر این، زیرساخت‌های استخراج و تریدکرافت، تکنیک‌هایی را که قبلاً به آن اکوسیستم نسبت داده شده بود، به شدت منعکس می‌کنند، اگرچه هیچ انتساب قطعی‌ای مشخص نشده است.

محرک فقرا و تاکتیک‌های BYOVD

یکی از ویژگی‌های اصلی این نفوذ، استقرار یک درایور مخرب به نام POORTRY بود که در حمله‌ای به سبک «راننده‌ی آسیب‌پذیر خود را بیاورید» (BYOVD) برای خنثی کردن دفاع‌های نقطه‌ی پایانی استفاده می‌شد. برخلاف عملیات سنتی BYOVD که به درایورهای قانونی اما دارای نقص متکی بودند، POORTRY یک درایور سفارشی است که به طور خاص برای افزایش امتیازات و خاتمه دادن به ابزارهای امنیتی مهندسی شده است.

محیط با استفاده از KillAV، ابزاری شناخته‌شده برای بارگذاری درایورهای آسیب‌پذیر جهت غیرفعال کردن نرم‌افزارهای حفاظتی، آماده‌سازی بیشتری شد. پروتکل ریموت دسکتاپ نیز فعال شد، احتمالاً برای تسهیل دسترسی تعاملی مداوم.

قابلیت‌های باج‌افزار Osiris

Osiris به عنوان یک بدافزار رمزگذاری بالغ و مؤثر توصیف شده است که احتمالاً توسط عوامل تهدید باتجربه اداره می‌شود. این بدافزار یک مدل رمزنگاری ترکیبی را پیاده‌سازی می‌کند و برای هر فایل یک کلید رمزگذاری منحصر به فرد تولید می‌کند که تلاش‌های بازیابی را به طور قابل توجهی پیچیده می‌کند. این باج‌افزار از پیکربندی گسترده‌ای پشتیبانی می‌کند و به اپراتورها اجازه می‌دهد تا اجرا را با محیط قربانی تنظیم کنند.

ویژگی‌های کلیدی عملکردی عبارتند از:

• متوقف کردن سرویس‌ها، خاتمه دادن به فرآیندها و غیرفعال کردن پشتیبان‌گیری‌ها یا مکانیسم‌های بازیابی.
• تعریف پوشه‌ها و پسوندهای فایل هدف، و ایجاد یک یادداشت باج‌خواهی سفارشی پس از اتمام.

به‌طور پیش‌فرض، Osiris طوری پیکربندی شده است که فرآیندها و سرویس‌های مرتبط با نرم‌افزارهای بهره‌وری، سرورهای ایمیل، مرورگرها، ویرایشگرهای متن، Volume Shadow Copy و پلتفرم‌های پشتیبان‌گیری سازمانی مانند Veeam را به‌طور تهاجمی خاتمه دهد.

ابزارهای مورد استفاده برای پشتیبانی از نفوذ

فراتر از خود باج‌افزار، مهاجمان برای حفظ کنترل عملیاتی به مجموعه‌ای از ابزارهای شناسایی، حرکت جانبی و مدیریت از راه دور متکی بودند. ابزارهایی که در طول نفوذ مشاهده شدند عبارتند از:

• Netscan و Netexec برای کشف و اجرای شبکه.
• MeshAgent و یک نسخه سفارشی از برنامه دسکتاپ از راه دور Rustdesk برای دسترسی از راه دور مداوم.
• Rclone برای انتقال خودکار داده‌ها به فضای ذخیره‌سازی ابری.

پیامدهایی برای چشم‌انداز رو به رشد اخاذی

در حالی که باج‌افزارهای رمزگذاری‌شده همچنان خطر قابل توجهی برای سازمان‌ها دارند، این حادثه نشان‌دهنده‌ی تکامل گسترده‌تر به سمت کمپین‌های اخاذی چندوجهی است. تأکید فزاینده بر سرقت داده‌ها، فرار از دفاع از طریق درایورهای مخرب و شیوع روزافزون حملات بدون رمزگذاری یا ترکیبی، چشم‌انداز تهدید را گسترش می‌دهد. در نتیجه، باج‌افزارها تنها به یکی از اجزای یک اکوسیستم اخاذی گسترده‌تر و پیچیده‌تر تبدیل می‌شوند که به همان اندازه به استراتژی‌های دفاعی تطبیقی نیاز دارد.