הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנת כופר משפחת כופרת אוזיריס

משפחת כופרת אוזיריס

עד Mezo ב-תוכנת כופר, איום מתמשך מתקדם (APT)
לתרגם ל:

חוקרי אבטחת סייבר חשפו משפחת תוכנות כופר שלא תועדה קודם לכן בשם Osiris, בעקבות מתקפה נגד מפעילת שירותי מזון גדולה בדרום מזרח אסיה בנובמבר 2025. ניתוח מצביע על כך שמדובר בזן כופר חדש שפותח ואינו קשור לווריאנט Osiris שנצפתה בדצמבר 2016 ונגזר מ-Locky. זהות המפתחים נותרה לא ידועה, ואין אישור שהתוכנה הזדונית מוצעת כחלק ממבצע כופר כשירות.

שרשרת התקפה ופשרה ראשונית

הפעילות הזדונית המוקדמת ביותר שאושרה ברשת הקורבן כללה חדירה של נתונים רגישים לפני פריסת תוכנת הכופר. התוקפים העבירו מידע באמצעות Rclone לאחסון ענן שהתארח ב-Wasabi. שלב זה לווה בהכנסה מדורגת של כלים ליצירת שליטה, תנועה רוחבית והכנת הסביבה להצפנה.

מגוון של תשתיות למגורים מהקרקע ותשתיות דו-שימושיות נוצלו, יחד עם רכיבי ניהול מרחוק, כדי להשתלב בפעילות מנהלית רגילה ולמזער את הגילוי המוקדם.

קישורים חשודים לפעולות כופר של INC

מספר אינדיקטורים מצביעים על חפיפה אפשרית עם גורמים שהיו קשורים בעבר לתוכנת הכופר INC (הידועה גם בשם Warble). ראוי לציין כי התוקפים השתמשו בגרסה של Mimikatz הנושאת את אותו שם קובץ, kaz.exe, אשר נצפתה באירועים קודמים הקשורים ל-INC. בנוסף, תשתית החילוץ והסנכרון משקפות מקרוב טכניקות שיוחסו בעבר למערכת אקולוגית זו, אם כי לא נקבע ייחוס סופי.

נהג ה-POORTRY וטקטיקות BYOVD

מאפיין מרכזי של הפריצה היה פריסת מנהל התקן זדוני המכונה POORTRY, ששימש במתקפה בסגנון "הבא את מנהל ההתקן הפגיע שלך" (BYOVD) כדי לנטרל הגנות נקודות קצה. בניגוד לפעולות BYOVD מסורתיות המסתמכות על מנהלי התקנים לגיטימיים אך פגומים, POORTRY הוא מנהל התקן מותאם אישית שתוכנן במיוחד כדי להעלות הרשאות ולסגור כלי אבטחה.

הסביבה הוכנה עוד יותר באמצעות KillAV, כלי עזר ידוע לטעינת מנהלי התקנים פגיעים כדי להשבית תוכנות מגן. פרוטוקול שולחן עבודה מרוחק הופעל גם כן, ככל הנראה כדי לאפשר גישה אינטראקטיבית מתמשכת.

יכולות הכופרה Osiris

אוזיריס תוארה כמטען הצפנה בוגר ויעיל, שככל הנראה מופעל על ידי גורמי איום מנוסים. היא מיישמת מודל קריפטוגרפי היברידי ומייצרת מפתח הצפנה ייחודי לכל קובץ, מה שמסבך משמעותית את מאמצי ההתאוששות. תוכנת הכופר תומכת בתצורה מקיפה, המאפשרת למפעילים להתאים את הביצוע לסביבת הקורבן.

תכונות פונקציונליות מרכזיות כוללות:

  • עצירת שירותים, סיום תהליכים והשבתת גיבויים או מנגנוני שחזור.
  • הגדרת תיקיות וסיומות קבצים ממוקדות, ויצירת הודעת כופר מותאמת אישית לאחר השלמתה.

כברירת מחדל, Osiris מוגדר לסיים באופן אגרסיבי תהליכים ושירותים הקשורים לתוכנות פרודוקטיביות, שרתי דוא"ל, דפדפנים, עורכי טקסט, Volume Shadow Copy ופלטפורמות גיבוי ארגוניות כמו Veeam.

כלים המשמשים לתמיכה בפריצה

מעבר לתוכנת הכופר עצמה, התוקפים הסתמכו על ערכת כלים של סיור, תנועה צידית וניהול מרחוק כדי לשמור על שליטה מבצעית. הכלים שנצפו במהלך הפריצה כללו:

  • Netscan ו-Netexec לגילוי וביצוע רשתות.
  • MeshAgent וגרסה מותאמת אישית של אפליקציית שולחן העבודה המרוחק Rustdesk לגישה מרחוק מתמשכת.
  • Rclone לחילוץ נתונים אוטומטי לאחסון ענן.

השלכות על עולם הסחיטה המתפתח

בעוד שהצפנת תוכנות כופר ממשיכה להוות סיכון משמעותי לארגונים, אירוע זה מדגיש התפתחות רחבה יותר לעבר קמפיינים רב-גוניים של סחיטה. הדגש הגובר על גניבת נתונים, התחמקות מהגנת מידע באמצעות מנהלי התקפות זדוניים, והשכיחות הגוברת של התקפות ללא הצפנה או היברידיות מרחיבים את נוף האיומים. כתוצאה מכך, תוכנות כופר הופכות למרכיב אחד בלבד בתוך מערכת אקולוגית סחיטה רחבה ומורכבת יותר, הדורשת אסטרטגיות הגנה גמישות באותה מידה.

מגמות

הכי נצפה

תוכנה זדונית

פישינג, ספאם
28,458
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...