Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Ransomware „Osiris“ išpirkos reikalaujančių programų šeima

„Osiris“ išpirkos reikalaujančių programų šeima

Autorius Mezo, Ransomware, Išplėstinė nuolatinė grėsmė (APT)
Versti į:

Kibernetinio saugumo tyrėjai po 2025 m. lapkritį Pietryčių Azijoje įvykdytos atakos prieš didelį maisto paslaugų franšizės operatorių atskleidė anksčiau nedokumentuotą išpirkos reikalaujančių programų šeimą, pavadintą „Osiris“. Analizė rodo, kad tai naujai sukurta išpirkos reikalaujančių programų atmaina ir nesusijusi su 2016 m. gruodį pastebėtu „Osiris“ variantu, kuris buvo gautas iš „Locky“. Kūrėjų tapatybė lieka nežinoma, ir nėra patvirtinimo, kad kenkėjiška programa siūloma kaip išpirkos reikalaujančių programų kaip paslaugos operacijos dalis.

Atakos grandinė ir pradinis kompromisas

Ankstyviausia patvirtinta kenkėjiška veikla aukos tinkle buvo susijusi su jautrių duomenų nutekėjimu prieš išpirkos reikalaujančios programinės įrangos diegimą. Užpuolikai, naudodami „Rclone“, perkėlė informaciją į debesies saugyklas, talpinamas „Wasabi“ platformoje. Po šio etapo buvo palaipsniui diegiami įrankiai, skirti kontrolei nustatyti, horizontaliai judėti ir aplinkai paruošti šifravimui.

Siekiant integruoti į įprastą administracinę veiklą ir sumažinti ankstyvą aptikimą, buvo pasitelktos įvairios gyvenamosios vietos, esančios už žemės sklypo ribų, ir dvejopos paskirties komunalinės paslaugos, taip pat nuotolinio valdymo komponentai.

Įtariamos nuorodos į INC išpirkos reikalaujančių programų operacijas

Keli požymiai rodo galimą sutapimą su veikėjais, anksčiau siejamais su INC išpirkos reikalaujančia programa (dar žinoma kaip „Warble“). Pažymėtina, kad užpuolikai naudojo „Mimikatz“ versiją su tuo pačiu failo pavadinimu – kaz.exe, kuris buvo pastebėtas ankstesniuose su INC susijusiuose incidentuose. Be to, eksfiltracijos infrastruktūra ir prekybos metodas labai panašūs į anksčiau šiai ekosistemai priskirtus metodus, nors galutinis priskyrimas nebuvo nustatytas.

„POORTRY“ vairuotojas ir BYOVD taktika

Svarbiausias įsilaužimo bruožas buvo kenkėjiškos tvarkyklės, žinomos kaip POORTRY, diegimas, naudojamas „atsisiųsk savo pažeidžiamą tvarkyklę“ (BYOVD) stiliaus atakoje, siekiant neutralizuoti galinių taškų apsaugą. Skirtingai nuo tradicinių BYOVD operacijų, kurios remiasi teisėtomis, bet ydingomis tvarkyklėmis, POORTRY yra specialiai sukurta tvarkyklė, skirta padidinti privilegijas ir išjungti saugos įrankius.

Aplinka buvo toliau ruošiama naudojant „KillAV“ – žinomą įrankį, skirtą pažeidžiamiems tvarkyklėms įkelti, siekiant išjungti apsauginę programinę įrangą. Taip pat buvo įjungtas nuotolinio darbalaukio protokolas, kuris greičiausiai palengvins nuolatinę interaktyvią prieigą.

„Osiris Ransomware“ galimybės

„Osiris“ apibūdinama kaip brandi ir efektyvi šifravimo programa, kuria greičiausiai naudojasi patyrę kibernetiniai agentai. Ji įgyvendina hibridinį kriptografinį modelį ir kiekvienam failui generuoja unikalų šifravimo raktą, o tai labai apsunkina atkūrimo pastangas. Išpirkos reikalaujanti programa palaiko platų konfigūravimą, leidžiantį operatoriams tiksliai suderinti vykdymą su aukos aplinka.

Pagrindinės funkcinės savybės:

  • Paslaugų sustabdymas, procesų nutraukimas ir atsarginių kopijų kūrimo ar atkūrimo mechanizmų išjungimas.
  • Apibrėžti tikslinius aplankus ir failų plėtinius bei sugeneruoti pritaikytą išpirkos raštelį, kai procesas bus baigtas.

Pagal numatytuosius nustatymus „Osiris“ sukonfigūruota agresyviai nutraukti procesus ir paslaugas, susijusias su produktyvumo programine įranga, el. pašto serveriais, naršyklėmis, teksto redaktoriais, „Volume Shadow Copy“ ir įmonių atsarginių kopijų platformomis, tokiomis kaip „Veeam“.

Įrankiai, naudojami įsibrovimui paremti

Be pačios išpirkos reikalaujančios programinės įrangos, užpuolikai operatyvinei kontrolei palaikyti naudojosi žvalgybos, horizontaliojo judėjimo ir nuotolinio valdymo įrankių rinkiniu. Įsilaužimo metu pastebėti šie įrankiai:

  • „Netscan“ ir „Netexec“ tinklo aptikimui ir vykdymui.
  • „MeshAgent“ ir pritaikyta „Rustdesk“ nuotolinio darbalaukio programos versija, skirta nuolatinei nuotolinei prieigai.
  • „Rclone“ automatizuotam duomenų perkėlimui į debesies saugyklą.

Poveikis besikeičiančiai turto prievartavimo aplinkai

Nors išpirkos reikalaujančių programų šifravimas ir toliau kelia didelę grėsmę organizacijoms, šis incidentas pabrėžia platesnę evoliuciją link daugialypių turto prievartavimo kampanijų. Didėjantis dėmesys duomenų vagystėms, gynybos vengimui naudojant kenkėjiškas tvarkykles ir augantis šifravimo neturinčių arba hibridinių atakų paplitimas plečia grėsmių kraštovaizdį. Dėl to išpirkos reikalaujančios programos tampa tik vienu komponentu platesnėje, sudėtingesnėje turto prievartavimo ekosistemoje, kuriai reikalingos tokios pat prisitaikančios gynybos strategijos.

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
28,458
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...