Preventivo sconto multi-licenza
Database delle minacce Riscatto Famiglia di ransomware Osiris

Famiglia di ransomware Osiris

Entro Mezo nel Riscatto, Minaccia persistente avanzata (APT)
Traduci in:

I ricercatori di sicurezza informatica hanno scoperto una famiglia di ransomware precedentemente non documentata, denominata Osiris, in seguito a un attacco contro un importante operatore di franchising di servizi di ristorazione nel Sud-est asiatico nel novembre 2025. L'analisi indica che si tratta di un ceppo di ransomware di recente sviluppo e non correlato alla variante Osiris osservata nel dicembre 2016, derivata da Locky. L'identità degli sviluppatori rimane sconosciuta e non vi è alcuna conferma che il malware venga offerto come parte di un'operazione Ransomware-as-a-Service.

Catena di attacco e compromissione iniziale

La prima attività dannosa confermata sulla rete della vittima ha comportato l'esfiltrazione di dati sensibili prima dell'implementazione del ransomware. Gli aggressori hanno trasferito le informazioni utilizzando Rclone su bucket di archiviazione cloud ospitati su Wasabi. Questa fase è stata seguita dall'introduzione graduale di strumenti per stabilire il controllo, spostarsi lateralmente e preparare l'ambiente per la crittografia.

Sono stati sfruttati diversi servizi di pubblica utilità e a duplice uso, insieme a componenti di gestione remota, per integrarli nelle normali attività amministrative e ridurre al minimo la rilevazione precoce.

Sospetti collegamenti con le operazioni ransomware INC

Diversi indicatori suggeriscono una potenziale sovrapposizione con gli autori precedentemente associati al ransomware INC (noto anche come Warble). In particolare, gli aggressori hanno utilizzato una versione di Mimikatz con lo stesso nome file, kaz.exe, già osservata in precedenti incidenti correlati a INC. Inoltre, l'infrastruttura di esfiltrazione e le tecniche di tradecraft rispecchiano da vicino le tecniche precedentemente attribuite a quell'ecosistema, sebbene non sia stata stabilita alcuna attribuzione definitiva.

Il driver POORTRY e le tattiche BYOVD

Una caratteristica centrale dell'intrusione è stata l'implementazione di un driver dannoso noto come POORTRY, utilizzato in un attacco in stile BYOVD (Bring Your Own Vulnerable Driver) per neutralizzare le difese degli endpoint. A differenza delle tradizionali operazioni BYOVD che si basano su driver legittimi ma imperfetti, POORTRY è un driver su misura, progettato specificamente per elevare i privilegi e disattivare gli strumenti di sicurezza.

L'ambiente è stato ulteriormente preparato utilizzando KillAV, una nota utility per il caricamento di driver vulnerabili al fine di disabilitare il software di protezione. È stato inoltre abilitato il protocollo Remote Desktop Protocol, probabilmente per facilitare l'accesso interattivo persistente.

Capacità del ransomware Osiris

Osiris è stato descritto come un payload di crittografia maturo ed efficace, probabilmente gestito da criminali informatici esperti. Implementa un modello crittografico ibrido e genera una chiave di crittografia univoca per ogni file, complicando notevolmente le operazioni di recupero. Il ransomware supporta configurazioni complesse, consentendo agli operatori di adattare l'esecuzione all'ambiente della vittima.

Le principali caratteristiche funzionali includono:

  • Arresto dei servizi, terminazione dei processi e disattivazione dei backup o dei meccanismi di ripristino.
  • Definizione delle cartelle e delle estensioni dei file di destinazione e generazione di una richiesta di riscatto personalizzata al termine dell'operazione.

Per impostazione predefinita, Osiris è configurato per terminare in modo aggressivo i processi e i servizi associati a software di produttività, server di posta elettronica, browser, editor di testo, Volume Shadow Copy e piattaforme di backup aziendali come Veeam.

Strumenti utilizzati per supportare l’intrusione

Oltre al ransomware in sé, gli aggressori si sono affidati a un kit di strumenti di ricognizione, movimento laterale e gestione remota per mantenere il controllo operativo. Tra gli strumenti osservati durante l'intrusione figuravano:

  • Netscan e Netexec per l'individuazione e l'esecuzione della rete.
  • MeshAgent e una build personalizzata dell'applicazione desktop remoto Rustdesk per l'accesso remoto persistente.
  • Rclone per l'esfiltrazione automatizzata dei dati nell'archiviazione cloud.

Implicazioni per l’evoluzione del panorama dell’estorsione

Sebbene la crittografia dei dati ransomware continui a rappresentare un rischio significativo per le organizzazioni, questo incidente evidenzia un'evoluzione più ampia verso campagne di estorsione multiforme. La crescente enfasi sul furto di dati, l'elusione delle difese tramite driver dannosi e la crescente prevalenza di attacchi ibridi o senza crittografia stanno ampliando il panorama delle minacce. Di conseguenza, il ransomware sta diventando solo una componente di un ecosistema di estorsione più ampio e complesso, che richiede strategie difensive altrettanto adattabili.

Tendenza

I più visti

Caricamento in corso...