Družina izsiljevalske programske opreme Osiris

Do leta Mezo leta Ransomware, Napredna trajna grožnja (APT)

Prevedi v:

Raziskovalci kibernetske varnosti so po napadu na večjega operaterja franšize gostinskih storitev v jugovzhodni Aziji novembra 2025 razkrili prej nedokumentirano družino izsiljevalske programske opreme, imenovano Osiris. Analiza kaže, da gre za novo razvit sev izsiljevalske programske opreme, ki ni povezan z različico Osiris, opaženo decembra 2016, ki je izhajala iz Lockyja. Identiteta razvijalcev ostaja neznana in ni potrditve, da se zlonamerna programska oprema ponuja kot del operacije izsiljevalska programska oprema kot storitev.

Kazalo

Napadalna veriga in začetna ogrožitev

Najzgodnejša potrjena zlonamerna dejavnost v omrežju žrtve je vključevala krajo občutljivih podatkov pred namestitvijo izsiljevalske programske opreme. Napadalci so podatke s pomočjo storitve Rclone prenesli v shrambe v oblaku, ki gostujejo na Wasabiju. Tej fazi je sledilo postopno uvajanje orodij za vzpostavitev nadzora, lateralno premikanje in pripravo okolja za šifriranje.

Za vključitev v običajne upravne dejavnosti in zmanjšanje zgodnjega odkrivanja so bili uporabljeni različni pripomočki za preživetje od zemlje in dvojno rabo, skupaj s komponentami oddaljenega upravljanja.

Sumljive povezave do operacij izsiljevalske programske opreme INC

Več kazalnikov kaže na morebitno prekrivanje z akterji, ki so bili prej povezani z izsiljevalsko programsko opremo INC (znano tudi kot Warble). Omeniti velja, da so napadalci uporabili različico programa Mimikatz z istim imenom datoteke, kaz.exe, ki je bila opažena že v prejšnjih incidentih, povezanih z INC. Poleg tega infrastruktura za izseljevanje in trgovske tehnike zelo odražata tehnike, ki so bile prej pripisane temu ekosistemu, čeprav dokončna pripisnica še ni bila ugotovljena.

Gonilnik REVŠČINE in taktike BYOVD

Osrednja značilnost vdora je bila namestitev zlonamernega gonilnika, znanega kot POORTRY, ki se uporablja v napadu tipa »prinesi svoj ranljiv gonilnik« (BYOVD) za nevtralizacijo obrambe končnih točk. Za razliko od tradicionalnih operacij BYOVD, ki se zanašajo na legitimne, a pomanjkljive gonilnike, je POORTRY gonilnik po meri, zasnovan posebej za dvig privilegijev in prekinitev varnostnih orodij.

Okolje je bilo dodatno pripravljeno z uporabo KillAV, znanega pripomočka za nalaganje ranljivih gonilnikov za onemogočanje zaščitne programske opreme. Omogočen je bil tudi protokol za oddaljeno namizje (Remote Desktop Protocol), kar verjetno olajša trajen interaktivni dostop.

Zmogljivosti izsiljevalske programske opreme Osiris

Osiris je bil opisan kot zrel in učinkovit šifrirni program, ki ga verjetno upravljajo izkušeni akterji. Izvaja hibridni kriptografski model in za vsako datoteko ustvari edinstven šifrirni ključ, kar znatno otežuje prizadevanja za obnovitev. Izsiljevalska programska oprema podpira obsežno konfiguracijo, kar operaterjem omogoča natančno prilagoditev delovanja okolju žrtve.

Ključne funkcionalne značilnosti vključujejo:

Zaustavljanje storitev, prekinjanje procesov in onemogočanje varnostnih kopij ali mehanizmov za obnovitev.
Določanje ciljnih map in končnic datotek ter ustvarjanje prilagojenega sporočila o odkupnini po zaključku.

Osiris je privzeto konfiguriran za agresivno prekinjanje procesov in storitev, povezanih s programsko opremo za produktivnost, e-poštnimi strežniki, brskalniki, urejevalniki besedil, Volume Shadow Copy in platformami za varnostno kopiranje za podjetja, kot je Veeam.

Orodje, ki se uporablja za podporo vdora

Poleg same izsiljevalske programske opreme so se napadalci zanašali na nabor orodij za izvidovanje, lateralno premikanje in oddaljeno upravljanje, da bi ohranili operativni nadzor. Orodja, opažena med vdorom, so vključevala:

Netscan in Neexec za odkrivanje in izvajanje omrežij.
MeshAgent in prilagojena različica aplikacije za oddaljeno namizje Rustdesk za trajen oddaljeni dostop.
Rclone za avtomatizirano izvlečenje podatkov v shrambo v oblaku.

Posledice za razvijajočo se izsiljevalsko krajino

Čeprav šifriranje izsiljevalske programske opreme še vedno predstavlja veliko tveganje za organizacije, ta incident poudarja širši razvoj proti večplastnim izsiljevalskim kampanjam. Vse večji poudarek na kraji podatkov, izogibanju obrambi z zlonamernimi gonilniki in vse večja razširjenost napadov brez šifriranja ali hibridnih napadov širijo groženj. Posledično izsiljevalska programska oprema postaja le ena od komponent širšega, bolj kompleksnega izsiljevalskega ekosistema, ki zahteva enako prilagodljive obrambne strategije.

EnigmaSoftov plačilni procesor Digital River GmbH Prijava stečaja ne vpliva na zaščito strank SpyHunter pred zlonamerno programsko opremo

Iskanje

Spremeni regijo

Družina izsiljevalske programske opreme Osiris

Napadalna veriga in začetna ogrožitev

Sumljive povezave do operacij izsiljevalske programske opreme INC

Gonilnik REVŠČINE in taktike BYOVD

Zmogljivosti izsiljevalske programske opreme Osiris

Orodje, ki se uporablja za podporo vdora

Posledice za razvijajočo se izsiljevalsko krajino

Pošlji komentar

V trendu

Axischainedge.com

Prevara pri registraciji MegaETH

Kampanja napada s spletnim skimmingom

Najbolj gledan

Zlonamerna programska oprema

Kaj je 'msedgewebview2.exe'?

E-poštna prevara 'Geek Squad'