Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Ransomware Familia Osiris Ransomware

Familia Osiris Ransomware

Până în Mezo în Ransomware, Amenințare persistentă avansată (APT)
Tradu in:

Cercetătorii în domeniul securității cibernetice au dezvăluit o familie de ransomware nedocumentată anterior, numită Osiris, în urma unui atac împotriva unui important operator de francize de servicii alimentare din Asia de Sud-Est în noiembrie 2025. Analizele indică faptul că aceasta este o tulpină de ransomware nou dezvoltată și nu are legătură cu varianta Osiris observată în decembrie 2016, derivată din Locky. Identitatea dezvoltatorilor rămâne necunoscută și nu există nicio confirmare că malware-ul este oferit ca parte a unei operațiuni Ransomware-as-a-Service.

Lanțul de atac și compromisul inițial

Cea mai veche activitate rău intenționată confirmată în rețeaua victimei a implicat exfiltrarea datelor sensibile înainte de implementarea ransomware-ului. Atacatorii au transferat informații folosind Rclone în bucket-uri de stocare în cloud găzduite pe Wasabi. Această fază a fost urmată de introducerea etapizată a instrumentelor pentru stabilirea controlului, deplasarea laterală și pregătirea mediului pentru criptare.

O varietate de utilități cu dublă utilizare și bazate pe traiul în afara terenului au fost valorificate, împreună cu componente de gestionare la distanță, pentru a se integra în activitatea administrativă normală și a minimiza detectarea timpurie.

Legături suspectate cu operațiunile ransomware INC

Mai mulți indicatori sugerează o posibilă suprapunere cu actori asociați anterior cu ransomware-ul INC (cunoscut și sub numele de Warble). În special, atacatorii au folosit o versiune de Mimikatz cu același nume de fișier, kaz.exe, care a fost observată în incidente anterioare legate de INC. În plus, infrastructura și tehnicile de exfiltrare reflectă îndeaproape tehnicile atribuite anterior acestui ecosistem, deși nu a fost stabilită nicio atribuire definitivă.

Șoferul POORTRY și tacticile BYOVD

O caracteristică centrală a intruziunii a fost implementarea unui driver malițios cunoscut sub numele de POORTRY, utilizat într-un atac de tip „bring-your-vulnerable-driver” (BYOVD) pentru a neutraliza apărarea endpoint-urilor. Spre deosebire de operațiunile BYOVD tradiționale care se bazează pe drivere legitime, dar defecte, POORTRY este un driver personalizat, conceput special pentru a ridica privilegiile și a termina instrumentele de securitate.

Mediul a fost pregătit suplimentar folosind KillAV, un utilitar cunoscut pentru încărcarea driverelor vulnerabile în vederea dezactivării software-ului de protecție. De asemenea, a fost activat Remote Desktop Protocol, probabil pentru a facilita accesul interactiv persistent.

Capacitățile ransomware-ului Osiris

Osiris a fost descris ca o sarcină utilă de criptare matură și eficientă, probabil operată de actori de amenințare experimentați. Acesta implementează un model criptografic hibrid și generează o cheie de criptare unică pentru fiecare fișier, complicând semnificativ eforturile de recuperare. Ransomware-ul acceptă configurații extinse, permițând operatorilor să ajusteze fin execuția la mediul victimei.

Caracteristicile funcționale cheie includ:

  • Oprirea serviciilor, terminarea proceselor și dezactivarea copiilor de rezervă sau a mecanismelor de recuperare.
  • Definirea folderelor și extensiilor de fișiere vizate și generarea unei note de recompensă personalizate la finalizare.

În mod implicit, Osiris este configurat să termine agresiv procesele și serviciile asociate cu software-ul de productivitate, serverele de e-mail, browserele, editorii de text, Volume Shadow Copy și platformele de backup pentru întreprinderi, cum ar fi Veeam.

Scule utilizate pentru a susține intruziunea

Dincolo de ransomware-ul în sine, atacatorii s-au bazat pe un set de instrumente de recunoaștere, mișcare laterală și gestionare la distanță pentru a menține controlul operațional. Printre instrumentele observate în timpul intruziunii s-au numărat:

  • Netscan și Netexec pentru descoperirea și execuția rețelei.
  • MeshAgent și o versiune personalizată a aplicației desktop la distanță Rustdesk pentru acces persistent la distanță.
  • Rclone pentru exfiltrarea automată a datelor în spațiul de stocare în cloud.

Implicații pentru peisajul extorcării în continuă evoluție

Deși criptarea ransomware-ului continuă să prezinte un risc semnificativ pentru organizații, acest incident evidențiază o evoluție mai amplă către campanii de extorcare cu multiple fațete. Accentul tot mai mare pus pe furtul de date, evitarea apărării prin drivere malițioase și prevalența tot mai mare a atacurilor fără criptare sau hibride extind peisajul amenințărilor. Drept urmare, ransomware-ul devine doar o componentă într-un ecosistem de extorcare mai amplu și mai complex, care necesită strategii defensive la fel de adaptive.

Trending

Cele mai văzute

Se încarcă...