Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ransomware Família de Ransomware Osiris

Família de Ransomware Osiris

Por Mezo em Ransomware, Ameaça Persistente Avançada (APT)
Traduzir Para:

Pesquisadores de cibersegurança revelaram uma família de ransomware até então desconhecida, apelidada de Osiris, após um ataque contra uma grande rede de franquias de serviços de alimentação no Sudeste Asiático em novembro de 2025. Análises indicam que se trata de uma variante de ransomware recém-desenvolvida e não relacionada à variante Osiris observada em dezembro de 2016, derivada do Locky. A identidade dos desenvolvedores permanece desconhecida e não há confirmação de que o malware seja oferecido como parte de uma operação de Ransomware como Serviço (RaaS).

Cadeia de ataque e comprometimento inicial

A primeira atividade maliciosa confirmada na rede da vítima envolveu a exfiltração de dados sensíveis antes da implantação do ransomware. Os atacantes transferiram informações usando o Rclone para buckets de armazenamento em nuvem hospedados no Wasabi. Essa fase foi seguida pela introdução gradual de ferramentas para estabelecer controle, movimentar-se lateralmente e preparar o ambiente para a criptografia.

Diversas soluções de infraestrutura, tanto para geração de renda extrativa quanto para uso misto (de terra e de dupla utilização), foram aproveitadas, juntamente com componentes de gerenciamento remoto, para se integrarem à atividade administrativa normal e minimizar a detecção precoce.

Suspeitas de ligações com operações de ransomware da INC

Diversos indicadores sugerem uma possível sobreposição com agentes previamente associados ao ransomware INC (também conhecido como Warble). Notavelmente, os atacantes utilizaram uma versão do Mimikatz com o mesmo nome de arquivo, kaz.exe, que já foi observada em incidentes anteriores relacionados ao INC. Além disso, a infraestrutura e as técnicas de exfiltração espelham de perto as técnicas previamente atribuídas a esse ecossistema, embora nenhuma atribuição definitiva tenha sido estabelecida.

O Motorista POBRE e as Táticas BYOVD

Uma característica central da intrusão foi a implantação de um driver malicioso conhecido como POORTRY, usado em um ataque do tipo "traga seu próprio driver vulnerável" (BYOVD) para neutralizar as defesas dos endpoints. Ao contrário das operações BYOVD tradicionais, que dependem de drivers legítimos, porém falhos, o POORTRY é um driver personalizado, projetado especificamente para elevar privilégios e desativar ferramentas de segurança.

O ambiente foi ainda preparado utilizando o KillAV, um utilitário conhecido por carregar drivers vulneráveis e desativar o software de proteção. O Protocolo de Área de Trabalho Remota (RDP) também foi ativado, provavelmente para facilitar o acesso interativo persistente.

Capacidades do ransomware Osiris

O Osiris foi descrito como um payload de criptografia maduro e eficaz, provavelmente operado por agentes de ameaças experientes. Ele implementa um modelo criptográfico híbrido e gera uma chave de criptografia exclusiva para cada arquivo, o que complica significativamente os esforços de recuperação. O ransomware oferece ampla configuração, permitindo que os operadores ajustem a execução ao ambiente da vítima.

As principais funcionalidades incluem:

  • Interromper serviços, encerrar processos e desativar backups ou mecanismos de recuperação.
  • Definir pastas e extensões de arquivo específicas e gerar uma nota de resgate personalizada após a conclusão.

Por padrão, o Osiris está configurado para encerrar de forma agressiva processos e serviços associados a softwares de produtividade, servidores de e-mail, navegadores, editores de texto, Cópias de Sombra de Volume e plataformas de backup corporativas como o Veeam.

Ferramentas utilizadas para dar suporte à intrusão

Além do próprio ransomware, os atacantes utilizaram um conjunto de ferramentas de reconhecimento, movimentação lateral e gerenciamento remoto para manter o controle operacional. As ferramentas observadas durante a intrusão incluíram:

  • Netscan e Netexec para descoberta e execução de redes.
  • MeshAgent e uma versão personalizada do aplicativo de área de trabalho remota Rustdesk para acesso remoto persistente.
  • Rclone para exfiltração automatizada de dados para armazenamento em nuvem.

Implicações para o cenário em evolução da extorsão

Embora o ransomware que utiliza criptografia continue a representar um risco significativo para as organizações, este incidente destaca uma evolução mais ampla em direção a campanhas de extorsão multifacetadas. A crescente ênfase no roubo de dados, na evasão de defesas por meio de drivers maliciosos e na prevalência cada vez maior de ataques híbridos ou sem criptografia estão expandindo o cenário de ameaças. Como resultado, o ransomware está se tornando apenas um componente dentro de um ecossistema de extorsão mais amplo e complexo, que exige estratégias defensivas igualmente adaptáveis.

Tendendo

O Trojan NotCompatible Atualizado Passa a Possuir...

Segurança do Computador
Os dispositivos móveis são hoje em dia todos, e quase todos os que têm a idade adequada têm algum tipo de telefone celular ou dispositivo móvel que acessam a Internet. No escopo completo da crescente popularidade dos smartphones, os hackers estão explorando o maior número possível de aplicativos móveis. A sofisticação do malware para celular lançou pânico quando o Trojan NotCompatible, um...

Mais visto

Carregando...