Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ransomware Osiris izspiedējvīrusu saime

Osiris izspiedējvīrusu saime

Līdz Mezo. gadam Ransomware, Advanced Persistent Threat (APT). gadā
Tulkot uz:

Kiberdrošības pētnieki pēc uzbrukuma lielam ēdināšanas franšīzes operatoram Dienvidaustrumāzijā 2025. gada novembrī ir atklājuši iepriekš nedokumentētu izspiedējvīrusu saimi ar nosaukumu Osiris. Analīze liecina, ka šis ir jaunizstrādāts izspiedējvīrusu paveids un nav saistīts ar Osiris variantu, kas tika novērots 2016. gada decembrī un ir atvasināts no Locky. Izstrādātāju identitāte joprojām nav zināma, un nav apstiprinājuma, ka ļaunprogrammatūra tiek piedāvāta kā daļa no izspiedējvīrusu pakalpojuma operācijas.

Uzbrukuma ķēde un sākotnējais kompromiss

Agrākā apstiprinātā ļaunprātīgā darbība upura tīklā bija saistīta ar sensitīvu datu eksfiltrāciju pirms izspiedējvīrusa izvietošanas. Uzbrucēji, izmantojot Rclone, pārsūtīja informāciju uz mākoņkrātuves segmentiem, kas tika mitināti Wasabi. Pēc šīs fāzes sekoja pakāpeniska rīku ieviešana, lai izveidotu kontroli, pārvietotos horizontāli un sagatavotu vidi šifrēšanai.

Lai iekļautos parastajā administratīvajā darbībā un samazinātu agrīnu atklāšanu, tika izmantoti dažādi dzīvošanai no zemes un divējāda lietojuma komunālie pakalpojumi, kā arī attālinātās pārvaldības komponenti.

Aizdomas par saitēm uz INC izspiedējvīrusu operācijām

Vairākas norādes liecina par iespējamu pārklāšanos ar dalībniekiem, kas iepriekš bija saistīti ar INC izspiedējvīrusu (pazīstams arī kā Warble). Jāatzīmē, ka uzbrucēji izmantoja Mimikatz versiju ar tādu pašu faila nosaukumu kaz.exe, kas ir novērots iepriekšējos ar INC saistītos incidentos. Turklāt eksfiltrācijas infrastruktūra un tirdzniecības metodes ir ļoti līdzīgas metodēm, kas iepriekš tika piedēvētas šai ekosistēmai, lai gan precīza saistība nav noteikta.

POORTRY vadītājs un BYOVD taktika

Ielaušanās centrālais elements bija ļaunprātīga draivera POORTRY izvietošana, ko izmantoja “bring-your-own-vulnerable-driver” (BYOVD) stila uzbrukumā, lai neitralizētu galapunktu aizsardzību. Atšķirībā no tradicionālajām BYOVD darbībām, kas balstās uz likumīgiem, bet kļūdainiem draiveriem, POORTRY ir īpaši izstrādāts draiveris, lai paaugstinātu privilēģijas un pārtrauktu drošības rīku darbību.

Vide tika tālāk sagatavota, izmantojot KillAV — zināmu utilītu neaizsargātu draiveru ielādei, lai atspējotu aizsargprogrammatūru. Tika iespējots arī attālās darbvirsmas protokols (Remote Desktop Protocol), kas, visticamāk, atvieglos pastāvīgu interaktīvu piekļuvi.

Osiris izspiedējvīrusa iespējas

Osiris ir raksturots kā nobriedis un efektīvs šifrēšanas rīks, ko, visticamāk, pārvalda pieredzējuši apdraudējumu izpildītāji. Tas ievieš hibrīda kriptogrāfijas modeli un ģenerē unikālu šifrēšanas atslēgu katram failam, ievērojami sarežģot atkopšanas centienus. Izspiedējvīruss atbalsta plašu konfigurāciju, ļaujot operatoriem precīzi pielāgot izpildi upura videi.

Galvenās funkcionālās funkcijas ietver:

  • Pakalpojumu apturēšana, procesu pārtraukšana un dublējumu vai atkopšanas mehānismu atspējošana.
  • Mērķa mapju un failu paplašinājumu definēšana un pielāgota izpirkuma pieprasījuma ģenerēšana pēc pabeigšanas.

Pēc noklusējuma Osiris ir konfigurēts tā, lai agresīvi pārtrauktu procesus un pakalpojumus, kas saistīti ar produktivitātes programmatūru, e-pasta serveriem, pārlūkprogrammām, teksta redaktoriem, Volume Shadow Copy un uzņēmumu dublēšanas platformām, piemēram, Veeam.

Ielaušanās atbalstam izmantotie rīki

Papildus pašam izspiedējvīrusam uzbrucēji operatīvās kontroles uzturēšanai izmantoja izlūkošanas, sānu pārvietošanās un attālās pārvaldības utilītu rīku komplektu. Ielaušanās laikā tika novēroti šādi rīki:

  • Netscan un Netexec tīkla noteikšanai un izpildei.
  • MeshAgent un pielāgota Rustdesk attālās darbvirsmas lietojumprogrammas versija pastāvīgai attālinātai piekļuvei.
  • Rclone automatizētai datu eksfiltrācijai mākoņkrātuvē.

Ietekme uz mainīgo izspiešanas ainavu

Lai gan šifrējoša izspiedējvīrusa izmantošana joprojām rada ievērojamu risku organizācijām, šis incidents izceļ plašāku daudzšķautņainu izspiešanas kampaņu attīstību. Pieaugošais uzsvars uz datu zādzībām, aizsardzības apiešanu, izmantojot ļaunprātīgus draiverus, un pieaugošā šifrēšanas nesaturošu vai hibrīduzbrukumu izplatība paplašina apdraudējumu ainavu. Tā rezultātā izspiedējvīruss kļūst tikai par vienu sastāvdaļu plašākā, sarežģītākā izspiešanas ekosistēmā, kas prasa tikpat adaptīvas aizsardzības stratēģijas.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
28,458
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...