Семейство программ-вымогателей Osiris
Исследователи в области кибербезопасности обнаружили ранее не описанное семейство программ-вымогателей под названием Osiris после атаки на крупную сеть франчайзинговых предприятий общественного питания в Юго-Восточной Азии в ноябре 2025 года. Анализ показывает, что это новый штамм программ-вымогателей, не связанный с вариантом Osiris, обнаруженным в декабре 2016 года и созданным на основе Locky. Личность разработчиков остается неизвестной, и нет подтверждения того, что вредоносное ПО предлагается в рамках модели «программа-вымогатель как услуга» (Ransomware-as-a-Service).
Оглавление
Цепочка атак и первоначальный компромисс
Наиболее ранние подтвержденные вредоносные действия в сети жертвы включали утечку конфиденциальных данных перед развертыванием программы-вымогателя. Злоумышленники передавали информацию с помощью Rclone в облачные хранилища, размещенные на Wasabi. За этим этапом последовало поэтапное внедрение инструментов для установления контроля, перемещения по сети и подготовки среды к шифрованию.
Для того чтобы интегрировать деятельность в обычную административную работу и свести к минимуму раннее обнаружение, были использованы различные методы ведения хозяйства за счет ресурсов земли и двойного назначения, а также компоненты дистанционного управления.
Подозрительные связи с операциями INC по распространению программ-вымогателей
Несколько признаков указывают на возможное совпадение с действиями злоумышленников, ранее связанных с программой-вымогателем INC (также известной как Warble). В частности, злоумышленники использовали версию Mimikatz с тем же именем файла, kaz.exe, которая наблюдалась в более ранних инцидентах, связанных с INC. Кроме того, инфраструктура эксфильтрации и методы работы во многом повторяют технологии, ранее приписываемые этой экосистеме, хотя окончательное подтверждение их причастности пока не установлено.
Водитель POORTRY и тактика BYOVD
Ключевой особенностью вторжения стало использование вредоносного драйвера POORTRY, применяемого в атаке типа BYOVD (использование собственных уязвимых драйверов) для нейтрализации средств защиты конечных точек. В отличие от традиционных операций BYOVD, которые полагаются на легитимные, но несовершенные драйверы, POORTRY — это специально разработанный драйвер, предназначенный для повышения привилегий и завершения работы средств защиты.
Дополнительно среда была подготовлена с помощью KillAV, известной утилиты для загрузки уязвимых драйверов с целью отключения защитного программного обеспечения. Также был включен протокол удаленного рабочего стола, вероятно, для обеспечения постоянного интерактивного доступа.
Возможности программы-вымогателя Osiris
Osiris описывается как зрелая и эффективная программа шифрования, вероятно, используемая опытными злоумышленниками. Она реализует гибридную криптографическую модель и генерирует уникальный ключ шифрования для каждого файла, что значительно усложняет восстановление данных. Программа-вымогатель поддерживает обширную конфигурацию, позволяя операторам точно настраивать выполнение в соответствии с условиями жертвы.
Ключевые функциональные особенности включают в себя:
- Остановка служб, завершение процессов и отключение механизмов резервного копирования или восстановления.
- Определение целевых папок и расширений файлов, а также создание персонализированного сообщения с требованием выкупа по завершении операции.
По умолчанию Osiris настроен на агрессивное завершение процессов и служб, связанных с программным обеспечением для повышения производительности, почтовыми серверами, браузерами, текстовыми редакторами, теневым копированием томов и корпоративными платформами резервного копирования, такими как Veeam.
Инструменты, используемые для обеспечения проникновения
Помимо самого вируса-вымогателя, злоумышленники использовали набор инструментов для разведки, горизонтального перемещения и удаленного управления, чтобы поддерживать оперативный контроль. Среди инструментов, обнаруженных во время вторжения, были:
- Netscan и Netexec используются для обнаружения и выполнения сетевых операций.
- MeshAgent и специально разработанное приложение удаленного рабочего стола Rustdesk для постоянного удаленного доступа.
- Rclone для автоматической утечки данных в облачное хранилище.
Последствия для меняющейся ситуации с вымогательством
Хотя программы-вымогатели, использующие шифрование, по-прежнему представляют значительный риск для организаций, этот инцидент подчеркивает более широкую тенденцию к развитию многогранных кампаний вымогательства. Растущий акцент на краже данных, обход защиты с помощью вредоносных драйверов и растущая распространенность атак без шифрования или гибридных атак расширяют ландшафт угроз. В результате программы-вымогатели становятся лишь одним компонентом в более широкой и сложной экосистеме вымогательства, требующей столь же адаптивных стратегий защиты.
