Monen lisenssin alennustarjous
Uhatietokanta Ransomware Osiris-kiristysohjelmaperhe

Osiris-kiristysohjelmaperhe

Vuonna Mezo vuonna Ransomware, Advanced Persistent Threat (APT)
Käännä:

Kyberturvallisuustutkijat ovat paljastaneet aiemmin dokumentoimattoman Osiris-nimisen kiristyshaittaohjelmaperheen Kaakkois-Aasiassa marraskuussa 2025 tapahtuneen hyökkäyksen jälkeen suurta ruokapalveluketjua vastaan. Analyysi osoittaa, että kyseessä on uusi kiristyshaittaohjelmakanta eikä se liity joulukuussa 2016 havaittuun Lockysta johdettuun Osiris-varianttiin. Kehittäjien henkilöllisyys on edelleen tuntematon, eikä ole vahvistusta sille, että haittaohjelmaa tarjotaan osana Ransomware-as-a-Service-operaatiota.

Hyökkäysketju ja alustava kompromissi

Varhaisin vahvistettu haitallinen toiminta uhriverkossa liittyi arkaluonteisten tietojen vuotamiseen ennen kiristysohjelman käyttöönottoa. Hyökkääjät siirsivät tietoja Rclone-työkalun avulla Wasabi-palvelimella sijaitseviin pilvitallennustiloihin. Tätä vaihetta seurasi työkalujen vaiheittainen käyttöönotto hallinnan luomiseksi, sivuttaiseen liikkumiseen ja ympäristön valmisteluun salausta varten.

Erilaisia maan ulkopuolisia asumispalveluita ja kaksikäyttöisiä palveluita hyödynnettiin etähallintakomponenttien ohella, jotta ne sulautuisivat normaaliin hallintotoimintaan ja minimoisivat varhaisen havaitsemisen.

Epäillyt yhteydet INC:n kiristysohjelmaoperaatioihin

Useat indikaattorit viittaavat mahdolliseen päällekkäisyyteen aiemmin INC-kiristysohjelmaan (tunnetaan myös nimellä Warble) yhdistettyjen toimijoiden kanssa. Huomionarvoista on, että hyökkääjät käyttivät Mimikatz-versiota, jolla on sama tiedostonimi, kaz.exe, jota on havaittu aiemmissa INC:hen liittyvissä tapauksissa. Lisäksi vuotoinfrastruktuuri ja -tekniikka heijastelevat läheisesti aiemmin kyseiseen ekosysteemiin liitettyjä tekniikoita, vaikka lopullista yhteyttä ei ole vahvistettu.

POORTRY-kuljettaja ja BYOVD-taktiikat

Tunkeutumisen keskeinen piirre oli haitallisen POORTRY-ajurin käyttöönotto. Sitä käytettiin BYOVD (bring-your-own-vulnerable-driver) -tyyppisessä hyökkäyksessä päätelaitteiden puolustusten neutraloimiseksi. Toisin kuin perinteiset BYOVD-toiminnot, jotka perustuvat laillisiin mutta virheellisiin ajureihin, POORTRY on räätälöity ajuri, joka on suunniteltu erityisesti käyttöoikeuksien nostamiseen ja tietoturvatyökalujen sulkemiseen.

Ympäristöä valmisteltiin edelleen käyttämällä KillAV:ia, tunnettua apuohjelmaa haavoittuvien ajurien lataamiseen suojausohjelmistojen poistamiseksi käytöstä. Myös etätyöpöytäprotokolla oli käytössä, mikä todennäköisesti helpotti jatkuvaa interaktiivista pääsyä.

Osiris-kiristysohjelman ominaisuudet

Osirista on kuvattu kypsäksi ja tehokkaaksi salaushyötykuormaksi, jota todennäköisesti käyttävät kokeneet uhkatoimijat. Se toteuttaa hybridikryptografisen mallin ja luo jokaiselle tiedostolle yksilöllisen salausavaimen, mikä vaikeuttaa merkittävästi palautustoimia. Kiristyshaittaohjelma tukee laajaa konfigurointia, jonka avulla operaattorit voivat hienosäätää suoritusta uhriympäristöön.

Keskeisiä toiminnallisia ominaisuuksia ovat:

  • Palveluiden pysäyttäminen, prosessien lopettaminen ja varmuuskopioiden tai palautusmekanismien poistaminen käytöstä.
  • Kohdekansioiden ja tiedostopäätteiden määrittäminen ja mukautetun lunnasvaatimuksen luominen valmistuttua.

Oletusarvoisesti Osiris on määritetty lopettamaan aggressiivisesti tuottavuusohjelmistoihin, sähköpostipalvelimiin, selaimiin, tekstieditoreihin, Volume Shadow Copy -tiedostoihin ja yritysten varmuuskopiointialustoihin, kuten Veeamiin, liittyvät prosessit ja palvelut.

Tunkeutumisen tukemiseen käytetyt työkalut

Itse kiristyshaittaohjelman lisäksi hyökkääjät käyttivät tiedustelu-, sivuttaisliike- ja etähallintatyökaluja operatiivisen hallinnan ylläpitämiseksi. Tunkeutumisen aikana havaittuihin työkaluihin kuuluivat:

  • Netscan ja Netexec verkon löytämiseen ja suorittamiseen.
  • MeshAgent ja mukautettu versio Rustdeskin etätyöpöytäsovelluksesta pysyvää etäkäyttöä varten.
  • Rclone automaattiseen tiedonsiirtoon pilvitallennukseen.

Vaikutukset kehittyvään kiristysmaisemaan

Vaikka kiristysohjelmien salaaminen aiheuttaa edelleen merkittävän riskin organisaatioille, tämä tapaus korostaa laajempaa kehitystä kohti monipuolisia kiristyskampanjoita. Kasvava painoarvo tietovarkauksille, puolustusten kiertämiselle haitallisten ajureiden avulla ja salaamattomien tai hybridihyökkäysten yleistyminen laajentavat uhkakuvaa. Tämän seurauksena kiristysohjelmista on tulossa vain yksi osa laajempaa ja monimutkaisempaa kiristysekosysteemiä, joka vaatii yhtä mukautuvia puolustusstrategioita.

Trendaavat

Eniten katsottu

Ladataan...