Multilicenčná zľavová ponuka
Databáza hrozieb Ransomware Rodina ransomvéru Osiris

Rodina ransomvéru Osiris

Do roku Mezo v roku Ransomware, Pokročilá perzistentná hrozba (APT)
Preložiť do:

Výskumníci v oblasti kybernetickej bezpečnosti odhalili doteraz nezdokumentovanú rodinu ransomvéru s názvom Osiris po útoku na významného prevádzkovateľa franšízy stravovacích služieb v juhovýchodnej Ázii v novembri 2025. Analýza naznačuje, že ide o novovyvinutý kmeň ransomvéru, ktorý nesúvisí s variantom Osiris pozorovaným v decembri 2016, ktorý pochádzal od spoločnosti Locky. Identita vývojárov zostáva neznáma a neexistuje žiadne potvrdenie, že malvér je ponúkaný ako súčasť operácie Ransomware-as-a-Service.

Reťazec útokov a počiatočné ohrozenie

Najskoršia potvrdená škodlivá aktivita v sieti obete zahŕňala únik citlivých údajov pred nasadením ransomvéru. Útočníci preniesli informácie pomocou nástroja Rclone do cloudových úložísk hostovaných na platforme Wasabi. Po tejto fáze nasledovalo postupné zavádzanie nástrojov na získanie kontroly, laterálny pohyb a prípravu prostredia na šifrovanie.

Na začlenenie do bežnej administratívnej činnosti a minimalizáciu včasného odhalenia sa využili rôzne zdroje dvojakého využitia spolu s komponentmi diaľkovej správy, ktoré viedli k hospodáreniu s pôdou.

Podozrivé prepojenia na operácie s ransomvérom INC

Niekoľko indikátorov naznačuje možné prekrývanie s aktérmi, ktorí boli predtým spájaní s ransomvérom INC (známym aj ako Warble). Útočníci použili verziu Mimikatz s rovnakým názvom súboru, kaz.exe, ktorá bola pozorovaná v skorších incidentoch súvisiacich s INC. Okrem toho infraštruktúra pre exfiltráciu a obchodné techniky veľmi dobre odrážajú techniky, ktoré boli predtým pripisované tomuto ekosystému, hoci definitívne priradenie nebolo stanovené.

Vodič chudoby a taktika BYOVD

Ústredným prvkom prieniku bolo nasadenie škodlivého ovládača známeho ako POORTRY, ktorý sa používal pri útoku typu „prines si vlastný zraniteľný ovládač“ (BYOVD) na neutralizáciu obranných systémov koncových bodov. Na rozdiel od tradičných operácií BYOVD, ktoré sa spoliehajú na legitímne, ale chybné ovládače, POORTRY je ovládač na mieru navrhnutý špeciálne na zvýšenie privilégií a ukončenie bezpečnostných nástrojov.

Prostredie bolo ďalej pripravené pomocou KillAV, známeho nástroja na načítanie zraniteľných ovládačov s cieľom deaktivovať ochranný softvér. Bol tiež povolený protokol vzdialenej pracovnej plochy (Remote Desktop Protocol), pravdepodobne na uľahčenie trvalého interaktívneho prístupu.

Schopnosti ransomvéru Osiris

Osiris bol opísaný ako zrelý a efektívny šifrovací nástroj, pravdepodobne prevádzkovaný skúsenými aktérmi útokov. Implementuje hybridný kryptografický model a generuje jedinečný šifrovací kľúč pre každý súbor, čo výrazne komplikuje proces obnovy. Ransomvér podporuje rozsiahlu konfiguráciu, ktorá umožňuje operátorom jemne doladiť jeho vykonávanie podľa prostredia obete.

Medzi kľúčové funkčné vlastnosti patria:

  • Zastavenie služieb, ukončenie procesov a zakázanie záloh alebo mechanizmov obnovy.
  • Definovanie cieľových priečinkov a prípon súborov a po dokončení generovanie prispôsobenej žiadosti o výkupné.

V predvolenom nastavení je Osiris nakonfigurovaný tak, aby agresívne ukončoval procesy a služby spojené so softvérom na zvýšenie produktivity, e-mailovými servermi, prehliadačmi, textovými editormi, Volume Shadow Copy a podnikovými zálohovacími platformami, ako je Veeam.

Nástroje používané na podporu vniknutia

Okrem samotného ransomvéru sa útočníci spoliehali na sadu nástrojov na prieskum, laterálny pohyb a vzdialenú správu, aby si udržali operačnú kontrolu. Medzi nástroje pozorované počas útoku patrili:

  • Netscan a Neexec na vyhľadávanie a vykonávanie v sieti.
  • MeshAgent a prispôsobená verzia aplikácie vzdialenej plochy Rustdesk pre trvalý vzdialený prístup.
  • Rclone pre automatizovaný prenos dát do cloudového úložiska.

Dôsledky pre vyvíjajúcu sa krajinu vydierania

Hoci šifrovanie ransomvéru naďalej predstavuje pre organizácie významné riziko, tento incident poukazuje na širší vývoj smerom k mnohostranným vydieračským kampaniam. Rastúci dôraz na krádež údajov, obchádzanie obrany prostredníctvom škodlivých ovládačov a rastúca prevalencia nešifrovaných alebo hybridných útokov rozširujú škálu hrozieb. V dôsledku toho sa ransomvér stáva len jednou súčasťou širšieho a komplexnejšieho ekosystému vydieračstva, ktorý si vyžaduje rovnako adaptívne obranné stratégie.

Trendy

Najviac videné

Načítava...