Rodzina oprogramowania ransomware Osiris

Do Mezo w Oprogramowanie wymuszające okup, Zaawansowane trwałe zagrożenie (APT)

Przetłumacz na:

Badacze cyberbezpieczeństwa ujawnili wcześniej nieudokumentowaną rodzinę ransomware o nazwie Osiris, po ataku na dużego operatora franczyzowego w Azji Południowo-Wschodniej w listopadzie 2025 roku. Analiza wskazuje, że jest to nowo opracowana odmiana ransomware, niezwiązana z wariantem Osiris zaobserwowanym w grudniu 2016 roku, który wywodzi się z Locky. Tożsamość twórców pozostaje nieznana i nie ma potwierdzenia, że złośliwe oprogramowanie jest oferowane w ramach operacji ransomware jako usługa (Ransomware as a Service).

Spis treści

Łańcuch ataku i początkowe zagrożenie

Najwcześniejsza potwierdzona szkodliwa aktywność w sieci ofiary obejmowała eksfiltrację poufnych danych przed wdrożeniem ransomware. Atakujący przesyłali informacje za pomocą Rclone do kontenerów pamięci masowej w chmurze hostowanych na platformie Wasabi. Po tej fazie nastąpiło stopniowe wprowadzenie narzędzi do ustanowienia kontroli, ruchu poziomego i przygotowania środowiska do szyfrowania.

Wykorzystano różnorodne narzędzia do życia z ziemi i podwójnego zastosowania, a także elementy zdalnego zarządzania, aby zintegrować je ze standardową działalnością administracyjną i zminimalizować konieczność wczesnego wykrywania.

Podejrzewane powiązania z operacjami ransomware INC

Kilka wskaźników sugeruje potencjalne powiązanie z działaniami podmiotów wcześniej powiązanych z ransomware INC (znanym również jako Warble). Co istotne, atakujący użyli wersji Mimikatz o tej samej nazwie pliku, kaz.exe, którą zaobserwowano we wcześniejszych incydentach związanych z INC. Co więcej, infrastruktura eksfiltracji i metody działania ściśle odzwierciedlają techniki wcześniej przypisywane temu ekosystemowi, choć nie ustalono jednoznacznego źródła.

Kierowca POORTRY i taktyka BYOVD

Centralnym elementem włamania było wdrożenie złośliwego sterownika znanego jako POORTRY, wykorzystanego w ataku typu „przynieś własny, podatny na ataki sterownik” (BYOVD) w celu zneutralizowania zabezpieczeń punktów końcowych. W przeciwieństwie do tradycyjnych operacji BYOVD, które opierają się na legalnych, ale wadliwych sterownikach, POORTRY to sterownik zaprojektowany specjalnie w celu podniesienia uprawnień i wyłączenia narzędzi bezpieczeństwa.

Środowisko zostało dodatkowo przygotowane za pomocą KillAV, znanego narzędzia do ładowania podatnych na ataki sterowników w celu wyłączenia oprogramowania ochronnego. Włączono również protokół pulpitu zdalnego (Remote Desktop Protocol), prawdopodobnie w celu ułatwienia trwałego dostępu interaktywnego.

Możliwości oprogramowania ransomware Osiris

Osiris został opisany jako dojrzały i skuteczny ładunek szyfrujący, prawdopodobnie obsługiwany przez doświadczonych cyberprzestępców. Implementuje hybrydowy model kryptograficzny i generuje unikalny klucz szyfrujący dla każdego pliku, co znacznie komplikuje odzyskiwanie danych. Ransomware obsługuje rozbudowaną konfigurację, umożliwiając operatorom precyzyjne dostosowanie działania do środowiska ofiary.

Kluczowe cechy funkcjonalne obejmują:

Zatrzymywanie usług, kończenie procesów i wyłączanie kopii zapasowych lub mechanizmów odzyskiwania.
Zdefiniowanie docelowych folderów i rozszerzeń plików oraz wygenerowanie po zakończeniu spersonalizowanej notatki z żądaniem okupu.

Domyślnie Osiris jest skonfigurowany tak, aby agresywnie kończyć procesy i usługi powiązane z oprogramowaniem biurowym, serwerami poczty e-mail, przeglądarkami, edytorami tekstu, kopiowaniem woluminów w tle i platformami do tworzenia kopii zapasowych przedsiębiorstw, takimi jak Veeam.

Narzędzia używane do wspomagania włamań

Oprócz samego ransomware, atakujący wykorzystali zestaw narzędzi do rozpoznania, ruchu bocznego i zdalnego zarządzania, aby utrzymać kontrolę operacyjną. Narzędzia zaobserwowane podczas włamania obejmowały:

Netscan i Netexec do wykrywania i wykonywania operacji sieciowych.
MeshAgent i dostosowana wersja aplikacji pulpitu zdalnego Rustdesk do trwałego dostępu zdalnego.
Rclone do automatycznego eksportu danych do pamięci masowej w chmurze.

Implikacje dla zmieniającego się krajobrazu wymuszeń

Chociaż szyfrowanie ransomware nadal stanowi poważne zagrożenie dla organizacji, incydent ten uwydatnia szerszą ewolucję w kierunku wielopłaszczyznowych kampanii wymuszeń. Rosnący nacisk na kradzież danych, unikanie obrony za pomocą złośliwych sterowników oraz rosnąca popularność ataków bez szyfrowania lub hybrydowych poszerzają spektrum zagrożeń. W rezultacie ransomware staje się tylko jednym z elementów szerszego, bardziej złożonego ekosystemu wymuszeń, który wymaga równie adaptacyjnych strategii obronnych.

Procesor płatności Digital River GmbH firmy EnigmaSoft ogłasza upadłość, nie wpływając na ochronę antymalware klientów SpyHunter

Szukaj

Zmieniać region

Rodzina oprogramowania ransomware Osiris

Łańcuch ataku i początkowe zagrożenie

Podejrzewane powiązania z operacjami ransomware INC

Kierowca POORTRY i taktyka BYOVD

Możliwości oprogramowania ransomware Osiris

Narzędzia używane do wspomagania włamań

Implikacje dla zmieniającego się krajobrazu wymuszeń

Prześlij komentarz

Popularne

Axischainedge.com

Oszustwo związane z rejestracją MegaETH

Kampania ataku Web Skimming

Najczęściej oglądane

Jak naprawić błąd „Sterownik drukarki jest niedostępny”

Discord pokazuje czarny ekran podczas udostępniania...

Jak naprawić „macOS nie może zweryfikować, czy ta...