Ponuda s popustom na više licenci
Baza prijetnji Ransomware Obitelj ransomwarea Osiris

Obitelj ransomwarea Osiris

Do Mezo. Ransomware, Napredna trajna prijetnja (APT). godine
Prevedi na:

Istraživači kibernetičke sigurnosti otkrili su prethodno nedokumentiranu obitelj ransomwarea nazvanu Osiris, nakon napada na velikog operatera franšize ugostiteljskih usluga u jugoistočnoj Aziji u studenom 2025. Analiza pokazuje da se radi o novo razvijenom soju ransomwarea koji nije povezan s varijantom Osiris uočenom u prosincu 2016. koja je izvedena iz Lockyja. Identitet programera ostaje nepoznat i nema potvrde da se zlonamjerni softver nudi kao dio operacije Ransomware-as-a-Service.

Lanac napada i početno kompromitiranje

Najranija potvrđena zlonamjerna aktivnost na mreži žrtve uključivala je krađu osjetljivih podataka prije postavljanja ransomwarea. Napadači su prenosili informacije pomoću Rclonea u spremnike za pohranu u oblaku smještene na Wasabiju. Nakon ove faze uslijedilo je postupno uvođenje alata za uspostavljanje kontrole, lateralno kretanje i pripremu okruženja za enkripciju.

Različite komunalne usluge za život od zemlje i dvojne namjene korištene su, zajedno s komponentama daljinskog upravljanja, kako bi se uklopile u normalne administrativne aktivnosti i smanjilo rano otkrivanje.

Sumnjive veze s INC Ransomware operacijama

Nekoliko pokazatelja ukazuje na potencijalno preklapanje s akterima koji su prethodno bili povezani s ransomwareom INC (također poznatim kao Warble). Napadači su, naime, koristili verziju Mimikatza s istim nazivom datoteke, kaz.exe, koja je uočena u ranijim incidentima povezanim s INC-om. Osim toga, infrastruktura za krađu podataka i zanatska tehnika blisko odražavaju tehnike koje su prethodno pripisane tom ekosustavu, iako nije utvrđena konačna atribucija.

Pogonitelj siromaštva i taktike BYOVD-a

Središnja značajka upada bila je implementacija zlonamjernog upravljačkog programa poznatog kao POORTRY, koji se koristi u napadu tipa "donesi vlastiti ranjivi upravljački program" (BYOVD) za neutralizaciju obrane krajnjih točaka. Za razliku od tradicionalnih BYOVD operacija koje se oslanjaju na legitimne, ali neispravne upravljačke programe, POORTRY je prilagođeni upravljački program posebno dizajniran za podizanje privilegija i prekid sigurnosnih alata.

Okruženje je dodatno pripremljeno pomoću KillAV-a, poznatog uslužnog programa za učitavanje ranjivih upravljačkih programa radi onemogućavanja zaštitnog softvera. Također je omogućen Remote Desktop Protocol, vjerojatno radi olakšavanja trajnog interaktivnog pristupa.

Mogućnosti Osiris Ransomwarea

Osiris je opisan kao zreo i učinkovit program za šifriranje, kojim vjerojatno upravljaju iskusni akteri prijetnji. Implementira hibridni kriptografski model i generira jedinstveni ključ za šifriranje za svaku datoteku, što značajno komplicira napore oporavka. Ransomware podržava opsežnu konfiguraciju, omogućujući operaterima fino podešavanje izvršenja prema okruženju žrtve.

Ključne funkcionalne značajke uključuju:

  • Zaustavljanje usluga, prekidanje procesa i onemogućavanje sigurnosnih kopija ili mehanizama za oporavak.
  • Definiranje ciljanih mapa i ekstenzija datoteka te generiranje prilagođene poruke s zahtjevom za otkupninu nakon završetka.

Prema zadanim postavkama, Osiris je konfiguriran za agresivno prekidanje procesa i usluga povezanih sa softverom za produktivnost, poslužiteljima e-pošte, preglednicima, uređivačima teksta, Volume Shadow Copyjem i platformama za sigurnosno kopiranje poduzeća kao što je Veeam.

Alati korišteni za potporu upada

Osim samog ransomwarea, napadači su se oslanjali na skup alata za izviđanje, lateralno kretanje i daljinsko upravljanje kako bi održali operativnu kontrolu. Alati uočeni tijekom upada uključivali su:

  • Netscan i Netexec za otkrivanje i izvršavanje mreže.
  • MeshAgent i prilagođena verzija Rustdesk aplikacije za udaljenu radnu površinu za trajni udaljeni pristup.
  • Rclone za automatizirano izbacivanje podataka u pohranu u oblaku.

Implikacije za razvoj krajolika iznude

Iako šifriranje ransomwarea i dalje predstavlja značajan rizik za organizacije, ovaj incident naglašava širu evoluciju prema višestrukim kampanjama iznude. Sve veći naglasak na krađi podataka, izbjegavanju obrane putem zlonamjernih upravljačkih programa i rastuća prevalencija napada bez šifriranja ili hibridnih napada proširuju krajolik prijetnji. Kao rezultat toga, ransomware postaje samo jedna komponenta unutar šireg, složenijeg ekosustava iznude koji zahtijeva jednako prilagodljive obrambene strategije.

U trendu

Nagledanije

Učitavam...