Keluarga Ransomware Osiris

Menjelang Mezo pada Perisian tebusan, Ancaman Berterusan Lanjutan (APT)

Terjemahkan ke

Penyelidik keselamatan siber telah mendedahkan keluarga ransomware yang sebelum ini tidak didokumenkan yang digelar Osiris, susulan serangan terhadap pengendali francais perkhidmatan makanan utama di Asia Tenggara pada November 2025. Analisis menunjukkan bahawa ini adalah strain ransomware yang baru dibangunkan dan tidak berkaitan dengan varian Osiris yang diperhatikan pada Disember 2016 yang berasal dari Locky. Identiti pembangun masih tidak diketahui, dan tiada pengesahan bahawa perisian hasad itu ditawarkan sebagai sebahagian daripada operasi Ransomware-as-a-Service.

Isi kandungan

Rantaian Serangan dan Kompromi Awal

Aktiviti berniat jahat yang paling awal disahkan pada rangkaian mangsa melibatkan penyusupan data sensitif sebelum penggunaan ransomware. Penyerang memindahkan maklumat menggunakan Rclone ke baldi storan awan yang dihoskan di Wasabi. Fasa ini diikuti dengan pengenalan perkakasan secara berperingkat untuk mewujudkan kawalan, bergerak secara lateral dan menyediakan persekitaran untuk penyulitan.

Pelbagai utiliti kehidupan luar tanah dan utiliti dwiguna telah dimanfaatkan, berserta komponen pengurusan jarak jauh, untuk digabungkan dengan aktiviti pentadbiran biasa dan meminimumkan pengesanan awal.

Pautan yang Disyaki dengan Operasi Ransomware INC

Beberapa petunjuk menunjukkan potensi pertindihan dengan pelaku yang sebelum ini dikaitkan dengan ransomware INC (juga dikenali sebagai Warble). Terutamanya, penyerang menggunakan versi Mimikatz yang mempunyai nama fail yang sama, kaz.exe, yang telah diperhatikan dalam insiden berkaitan INC terdahulu. Di samping itu, infrastruktur dan kraftangan pengekstrakan yang hampir menyerupai teknik yang sebelum ini dikaitkan dengan ekosistem tersebut, walaupun tiada atribusi muktamad telah diwujudkan.

Taktik Pemandu POORTRY dan BYOVD

Ciri utama pencerobohan itu ialah penggunaan pemacu berniat jahat yang dikenali sebagai POORTRY, yang digunakan dalam serangan gaya bawa-sendiri-pemacu-terdedah (BYOVD) untuk meneutralkan pertahanan titik akhir. Tidak seperti operasi BYOVD tradisional yang bergantung pada pemacu yang sah tetapi cacat, POORTRY ialah pemacu tersuai yang direka bentuk khusus untuk meningkatkan keistimewaan dan menamatkan alat keselamatan.

Persekitaran telah disediakan selanjutnya menggunakan KillAV, utiliti yang dikenali untuk memuatkan pemacu terdedah bagi melumpuhkan perisian perlindungan. Protokol Desktop Jauh juga diaktifkan, berkemungkinan untuk memudahkan akses interaktif berterusan.

Keupayaan Ransomware Osiris

Osiris telah digambarkan sebagai muatan penyulitan yang matang dan berkesan, kemungkinan besar dikendalikan oleh pelaku ancaman yang berpengalaman. Ia melaksanakan model kriptografi hibrid dan menghasilkan kunci penyulitan unik untuk setiap fail, sekali gus merumitkan usaha pemulihan dengan ketara. Ransomware ini menyokong konfigurasi yang meluas, membolehkan pengendali menyelaraskan pelaksanaan mengikut persekitaran mangsa.

Ciri-ciri fungsi utama termasuk:

Menghentikan perkhidmatan, menamatkan proses dan melumpuhkan mekanisme sandaran atau pemulihan.
Menentukan folder dan sambungan fail yang disasarkan, dan menjana nota tebusan tersuai setelah selesai.

Secara lalai, Osiris dikonfigurasikan untuk menamatkan proses dan perkhidmatan yang berkaitan dengan perisian produktiviti, pelayan e-mel, pelayar, editor teks, Volume Shadow Copy dan platform sandaran perusahaan seperti Veeam secara agresif.

Peralatan yang Digunakan untuk Menyokong Pencerobohan

Selain ransomware itu sendiri, penyerang bergantung pada toolkit peninjauan, pergerakan sisi dan utiliti pengurusan jarak jauh untuk mengekalkan kawalan operasi. Alat yang diperhatikan semasa pencerobohan termasuk:

Netscan dan Neexec untuk penemuan dan pelaksanaan rangkaian.
MeshAgent dan binaan tersuai aplikasi desktop jauh Rustdesk untuk akses jauh berterusan.
Klon R untuk penapisan data automatik ke storan awan.

Implikasi untuk Landskap Pemerasan yang Berkembang

Walaupun penyulitan ransomware terus menimbulkan risiko yang ketara kepada organisasi, insiden ini menonjolkan evolusi yang lebih luas ke arah kempen pemerasan pelbagai aspek. Penekanan yang semakin meningkat terhadap kecurian data, pengelakan pertahanan melalui pemacu berniat jahat, dan peningkatan kelaziman serangan tanpa penyulitan atau hibrid sedang meluaskan landskap ancaman. Akibatnya, ransomware menjadi hanya satu komponen dalam ekosistem pemerasan yang lebih luas dan lebih kompleks yang memerlukan strategi pertahanan yang sama adaptif.

Pemproses Pembayaran EnigmaSoft Pemfailan Digital River GmbH untuk Kebankrapan Tidak Menjejas Perlindungan Anti-Hasad Pelanggan SpyHunter

Cari

Tukar Wilayah

Keluarga Ransomware Osiris

Rantaian Serangan dan Kompromi Awal

Pautan yang Disyaki dengan Operasi Ransomware INC

Taktik Pemandu POORTRY dan BYOVD

Keupayaan Ransomware Osiris

Peralatan yang Digunakan untuk Menyokong Pencerobohan

Implikasi untuk Landskap Pemerasan yang Berkembang

hantar komen

Trending

Axischainedge.com

Penipuan Pendaftaran MegaETH

Kempen Serangan Skimming Web

Paling banyak dilihat

Perisian hasad

Penipuan E-mel 'Geek Squad'

Fuq.com