Rabatttilbud for flere lisenser
Trusseldatabase løsepengeprogramvare Osiris Ransomware-familien

Osiris Ransomware-familien

Med Mezo i løsepengeprogramvare, Advanced Persistent Threat (APT)
Oversett til:

Forskere innen nettsikkerhet har avslørt en tidligere udokumentert ransomware-familie kalt Osiris, etter et angrep mot en stor franchisetaker innen matservering i Sørøst-Asia i november 2025. Analyser indikerer at dette er en nyutviklet ransomware-stamme og ikke relatert til Osiris-varianten som ble observert i desember 2016 og som var avledet fra Locky. Utviklernes identitet er fortsatt ukjent, og det er ingen bekreftelse på at skadevaren tilbys som en del av en Ransomware-as-a-Service-operasjon.

Angrepskjede og innledende kompromiss

Den tidligste bekreftede ondsinnede aktiviteten på offerets nettverk involverte utvinning av sensitive data før ransomware-distribusjon. Angriperne overførte informasjon ved hjelp av Rclone til skylagringsenheter hostet på Wasabi. Denne fasen ble etterfulgt av en trinnvis introduksjon av verktøy for å etablere kontroll, bevege seg sidelengs og forberede miljøet for kryptering.

En rekke verktøy for å leve utenfor landet og bruke begge deler ble utnyttet, sammen med komponenter for fjernadministrasjon, for å integreres i normal administrativ aktivitet og minimere tidlig oppdagelse.

Mistenkte koblinger til INC-ransomware-operasjoner

Flere indikatorer tyder på potensiell overlapping med aktører som tidligere er assosiert med INC-ransomware (også kjent som Warble). Det er verdt å merke seg at angriperne brukte en versjon av Mimikatz med samme filnavn, kaz.exe, som har blitt observert i tidligere INC-relaterte hendelser. I tillegg gjenspeiler eksfiltreringsinfrastrukturen og -håndverket teknikker som tidligere er tilskrevet dette økosystemet, selv om ingen definitiv tilskrivelse er fastslått.

POORTRY-sjåføren og BYOVD-taktikker

Et sentralt trekk ved innbruddet var utplasseringen av en ondsinnet driver kjent som POORTRY, brukt i et BYOVD-angrep (bring-your-own-vulnerable-driver) for å nøytralisere endepunktforsvar. I motsetning til tradisjonelle BYOVD-operasjoner som er avhengige av legitime, men feilaktige drivere, er POORTRY en skreddersydd driver som er spesielt utviklet for å heve rettigheter og avslutte sikkerhetsverktøy.

Miljøet ble videre forberedt ved hjelp av KillAV, et kjent verktøy for å laste inn sårbare drivere for å deaktivere beskyttende programvare. Remote Desktop Protocol ble også aktivert, sannsynligvis for å legge til rette for vedvarende interaktiv tilgang.

Funksjoner til Osiris Ransomware

Osiris har blitt beskrevet som en moden og effektiv krypteringsnyttelast, sannsynligvis operert av erfarne trusselaktører. Den implementerer en hybrid kryptografisk modell og genererer en unik krypteringsnøkkel for hver fil, noe som kompliserer gjenopprettingsarbeidet betydelig. Løsepengeviruset støtter omfattende konfigurasjon, slik at operatører kan finjustere kjøringen til offermiljøet.

Viktige funksjonelle funksjoner inkluderer:

  • Stoppe tjenester, avslutte prosesser og deaktivere sikkerhetskopier eller gjenopprettingsmekanismer.
  • Definere målrettede mapper og filtyper, og generere et tilpasset løsepengebrev når det er fullført.

Som standard er Osiris konfigurert til aggressivt å avslutte prosesser og tjenester knyttet til produktivitetsprogramvare, e-postservere, nettlesere, tekstredigerere, Volume Shadow Copy og sikkerhetskopieringsplattformer for bedrifter som Veeam.

Verktøy brukt til å støtte inntrengingen

Utover selve ransomware-viruset, benyttet angriperne seg av et verktøysett med rekognosering, lateral bevegelse og fjernstyringsverktøy for å opprettholde operasjonell kontroll. Verktøyene som ble observert under innbruddet inkluderte:

  • Netscan og Netexec for nettverksoppdagelse og -kjøring.
  • MeshAgent og en tilpasset versjon av Rustdesk-applikasjonen for eksternt skrivebord for vedvarende ekstern tilgang.
  • Rclone for automatisert datautfiltrering til skylagring.

Implikasjoner for det utviklende utpressingslandskapet

Selv om kryptering av ransomware fortsatt utgjør en betydelig risiko for organisasjoner, fremhever denne hendelsen en bredere utvikling mot mangesidige utpressingskampanjer. Den økende vektleggingen av datatyveri, forsvarsunndragelse gjennom ondsinnede drivere og den økende forekomsten av krypteringsløse eller hybride angrep utvider trussellandskapet. Som et resultat blir ransomware bare én komponent i et bredere, mer komplekst utpressingsøkosystem som krever like tilpasningsdyktige forsvarsstrategier.

Trender

Mest sett

Laster inn...