Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Ransomware Osiris Ransomware Familie

Osiris Ransomware Familie

Tegen Mezo in Ransomware, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

Onderzoekers op het gebied van cyberbeveiliging hebben een voorheen ongedocumenteerde ransomwarefamilie ontdekt, genaamd Osiris, na een aanval op een grote franchiseketen in de voedingssector in Zuidoost-Azië in november 2025. Analyse wijst uit dat dit een nieuw ontwikkelde ransomwarevariant is en niet verwant aan de Osiris-variant die in december 2016 werd waargenomen en die was afgeleid van Locky. De identiteit van de ontwikkelaars is nog onbekend en er is geen bevestiging dat de malware wordt aangeboden als onderdeel van een Ransomware-as-a-Service-model.

Aanvalsketen en initiële inbreuk

De vroegst bevestigde kwaadwillige activiteit op het netwerk van het slachtoffer betrof het stelen van gevoelige gegevens vóór de ransomware-aanval. Aanvallers brachten informatie over met behulp van Rclone naar cloudopslagbuckets die werden gehost door Wasabi. Deze fase werd gevolgd door de gefaseerde introductie van tools om controle te verkrijgen, zich lateraal te verplaatsen en de omgeving voor te bereiden op encryptie.

Er werd gebruikgemaakt van diverse vormen van zelfvoorzienend leven en multifunctionele voorzieningen, in combinatie met beheer op afstand, om naadloos aan te sluiten op de normale administratieve activiteiten en vroegtijdige detectie te minimaliseren.

Vermoedelijke banden met INC-ransomware-operaties

Verschillende indicatoren wijzen op mogelijke overlap met actoren die eerder in verband werden gebracht met de INC-ransomware (ook bekend als Warble). Met name gebruikten de aanvallers een versie van Mimikatz met dezelfde bestandsnaam, kaz.exe, die ook bij eerdere INC-gerelateerde incidenten is waargenomen. Bovendien vertonen de infrastructuur voor data-exfiltratie en de gebruikte methoden grote overeenkomsten met technieken die eerder aan dat ecosysteem werden toegeschreven, hoewel er nog geen definitieve toewijzing is vastgesteld.

De POORTRY-chauffeur en BYOVD-tactieken

Een centraal kenmerk van de inbraak was de inzet van een kwaadaardige driver genaamd POORTRY, die werd gebruikt in een BYOVD-aanval (Bring Your Own Vulnerable Driver) om de beveiliging van endpoints te neutraliseren. In tegenstelling tot traditionele BYOVD-aanvallen, die gebruikmaken van legitieme maar gebrekkige drivers, is POORTRY een op maat gemaakte driver die specifiek is ontworpen om privileges te verhogen en beveiligingssystemen uit te schakelen.

De omgeving werd verder voorbereid met KillAV, een bekend hulpprogramma voor het laden van kwetsbare stuurprogramma's om beveiligingssoftware uit te schakelen. Ook werd het Remote Desktop Protocol ingeschakeld, waarschijnlijk om permanente interactieve toegang mogelijk te maken.

Mogelijkheden van de Osiris-ransomware

Osiris wordt beschreven als een volwaardige en effectieve encryptiepayload, waarschijnlijk uitgevoerd door ervaren cybercriminelen. Het implementeert een hybride cryptografisch model en genereert een unieke encryptiesleutel voor elk bestand, wat herstelpogingen aanzienlijk bemoeilijkt. De ransomware biedt uitgebreide configuratiemogelijkheden, waardoor beheerders de uitvoering nauwkeurig kunnen afstemmen op de omgeving van het slachtoffer.

De belangrijkste functionele kenmerken zijn onder meer:

  • Het stoppen van services, het beëindigen van processen en het uitschakelen van back-up- of herstelmechanismen.
  • Het definiëren van de doelmappen en bestandsextensies, en het genereren van een gepersonaliseerde losgeldnota na voltooiing.

Standaard is Osiris geconfigureerd om processen en services die zijn gekoppeld aan productiviteitssoftware, e-mailservers, browsers, tekstverwerkers, Volume Shadow Copy en back-upplatformen voor bedrijven zoals Veeam, op agressieve wijze te beëindigen.

Gereedschap gebruikt ter ondersteuning van de inbraak

Naast de ransomware zelf maakten de aanvallers gebruik van een reeks hulpmiddelen voor verkenning, laterale verplaatsing en beheer op afstand om de operationele controle te behouden. Onder de tools die tijdens de inbraak werden waargenomen, bevonden zich:

  • Netscan en Netexec voor netwerkdetectie en -uitvoering.
  • MeshAgent en een aangepaste versie van de Rustdesk remote desktop-applicatie voor permanente toegang op afstand.
  • Rclone voor geautomatiseerde data-exfiltratie naar cloudopslag.

Implicaties voor het veranderende afpersingslandschap

Hoewel ransomware die gegevens versleutelt nog steeds een aanzienlijk risico vormt voor organisaties, benadrukt dit incident een bredere ontwikkeling naar veelzijdige afpersingscampagnes. De toenemende focus op datadiefstal, het omzeilen van beveiligingsmaatregelen door middel van kwaadaardige drivers en de groeiende prevalentie van aanvallen zonder versleuteling of hybride aanvallen, vergroten het dreigingslandschap. Hierdoor wordt ransomware slechts één component binnen een breder, complexer afpersingsecosysteem dat eveneens flexibele verdedigingsstrategieën vereist.

Trending

Meest bekeken

Bezig met laden...