Osiris zsarolóvírus család

Mezo -ra Ransomware, Advanced Persistent Threat (APT)-ben

Fordítás ide:

Kiberbiztonsági kutatók egy korábban nem dokumentált, Osiris névre keresztelt zsarolóvírus-családot fedeztek fel egy délkelet-ázsiai nagy élelmiszeripari franchise-üzemeltető elleni támadást követően, 2025 novemberében. Az elemzés azt mutatja, hogy ez egy újonnan kifejlesztett zsarolóvírus-törzs, és nem áll kapcsolatban a 2016 decemberében megfigyelt, a Locky-ból származó Osiris variánssal. A fejlesztők kiléte továbbra ismeretlen, és nincs megerősítés arról, hogy a rosszindulatú programot szolgáltatásként kínálnák.

Tartalomjegyzék

Támadási lánc és kezdeti kompromisszum

A legkorábbi megerősített rosszindulatú tevékenység az áldozat hálózatán a zsarolóvírus telepítése előtt érzékeny adatok kiszivárgásával járt. A támadók az Rclone segítségével továbbítottak információkat a Wasabi felhőalapú tárolóhelyeibe. Ezt a fázist követte az eszközök fokozatos bevezetése az irányítás megteremtéséhez, a laterális mozgáshoz és a környezet titkosításra való előkészítéséhez.

Különféle, a földterületen kívüli megélhetést biztosító és kettős felhasználású közműveket, valamint távfelügyeleti komponenseket alkalmaztak a normál adminisztratív tevékenységekbe való beillesztés és a korai észlelés minimalizálása érdekében.

Gyanús kapcsolatok az INC zsarolóvírus-műveleteivel

Számos jel utal a korábban az INC zsarolóvírushoz (más néven Warble) köthető szereplőkkel való potenciális átfedésre. Figyelemre méltó, hogy a támadók a Mimikatz egy olyan verzióját használták, amely ugyanazt a fájlnevet, a kaz.exe-t viseli, amelyet korábbi, INC-vel kapcsolatos incidensekben is megfigyeltek. Ezenkívül a kiszivárgási infrastruktúra és a kereskedelmi gyakorlat szorosan tükrözi a korábban az adott ökoszisztémához rendelt technikákat, bár a végleges eredetet nem állapították meg.

A POORTRY sofőr és a BYOVD taktikák

A behatolás egyik központi eleme egy POORTRY nevű rosszindulatú illesztőprogram telepítése volt, amelyet egy „hozd magaddal a sebezhető illesztőprogramot” (BYOVD) stílusú támadásban használtak a végpontok védelmének semlegesítésére. A hagyományos BYOVD műveletekkel ellentétben, amelyek legitim, de hibás illesztőprogramokra támaszkodnak, a POORTRY egy kifejezetten a jogosultságok emelésére és a biztonsági eszközök letiltására tervezett, egyedi illesztőprogram.

A környezetet a KillAV segítségével készítették elő, amely egy ismert segédprogram sebezhető illesztőprogramok betöltésére a védőszoftverek letiltása érdekében. A Remote Desktop Protocol is engedélyezve volt, valószínűleg a folyamatos interaktív hozzáférés megkönnyítése érdekében.

Az Osiris zsarolóvírus képességei

Az Osiris-t egy kiforrott és hatékony titkosítási csomagként írták le, amelyet valószínűleg tapasztalt fenyegetési szereplők üzemeltetnek. Hibrid kriptográfiai modellt valósít meg, és minden fájlhoz egyedi titkosítási kulcsot generál, ami jelentősen bonyolítja a helyreállítási erőfeszítéseket. A zsarolóvírus kiterjedt konfigurációt támogat, lehetővé téve az operátorok számára, hogy a végrehajtást az áldozati környezethez igazítsák.

A főbb funkcionális jellemzők a következők:

Szolgáltatások leállítása, folyamatok leállítása, valamint biztonsági mentések vagy helyreállítási mechanizmusok letiltása.
Célzott mappák és fájlkiterjesztések meghatározása, és a befejezés után személyre szabott váltságdíjkövető üzenet létrehozása.

Alapértelmezés szerint az Osiris úgy van konfigurálva, hogy agresszíven leállítsa a termelékenységi szoftverekhez, e-mail szerverekhez, böngészőkhöz, szövegszerkesztőkhöz, Volume Shadow Copy-hoz és vállalati biztonsági mentési platformokhoz, például a Veeamhoz kapcsolódó folyamatokat és szolgáltatásokat.

A behatolás támogatására használt eszközök

Magán a zsarolóvíruson túl a támadók felderítő, oldalirányú mozgási és távoli felügyeleti segédprogramok eszköztárára támaszkodtak az operatív irányítás fenntartása érdekében. A behatolás során megfigyelt eszközök a következők voltak:

Netscan és Netexec a hálózat felderítéséhez és végrehajtásához.
MeshAgent és a Rustdesk távoli asztali alkalmazás testreszabott verziója az állandó távoli hozzáféréshez.
Rclone az adatok felhőalapú tárhelybe történő automatizált kiszivárgásához.

Következmények a változó zsarolási környezetre nézve

Míg a zsarolóvírusok titkosítása továbbra is jelentős kockázatot jelent a szervezetekre nézve, ez az incidens rávilágít a sokrétű zsarolókampányok felé vezető tágabb fejlődésre. Az adatlopásra, a rosszindulatú illesztőprogramokon keresztüli védelem megkerülésére helyezett növekvő hangsúly, valamint a titkosítás nélküli vagy hibrid támadások növekvő előfordulása bővíti a fenyegetési térképet. Ennek eredményeként a zsarolóvírusok csupán egyetlen alkotóelemmé válnak egy szélesebb, összetettebb zsaroló ökoszisztémában, amely ugyanilyen adaptív védelmi stratégiákat igényel.

Az EnigmaSoft fizetési processzora, a Digital River GmbH csődbejelentése nem befolyásolja a SpyHunter ügyfelek rosszindulatú programok elleni védelmét

Keresés

Régió módosítása

Osiris zsarolóvírus család

Támadási lánc és kezdeti kompromisszum

Gyanús kapcsolatok az INC zsarolóvírus-műveleteivel

A POORTRY sofőr és a BYOVD taktikák

Az Osiris zsarolóvírus képességei

A behatolás támogatására használt eszközök

Következmények a változó zsarolási környezetre nézve

Küldje el megjegyzését

Felkapott

Axischainedge.com

MegaETH regisztrációs átverés

Webes lefölözési támadási kampány

Legnézettebb

Rosszindulatú

„Geek Squad” e-mail átverés

Fuq.com