Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Ransomware Osiris Ransomware Family

Osiris Ransomware Family

Nga MezoRansomware, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Studiuesit e sigurisë kibernetike kanë zbuluar një familje ransomware-esh të padokumentuar më parë të quajtur Osiris, pas një sulmi kundër një operatori të madh të shërbimit ushqimor në Azinë Juglindore në nëntor 2025. Analiza tregon se ky është një lloj ransomware-i i zhvilluar rishtazi dhe nuk lidhet me variantin Osiris të vëzhguar në dhjetor 2016 që rrjedh nga Locky. Identiteti i zhvilluesve mbetet i panjohur dhe nuk ka konfirmim se malware ofrohet si pjesë e një operacioni Ransomware-as-a-Service.

Zinxhiri i Sulmit dhe Kompromisi Fillestar

Aktiviteti më i hershëm i konfirmuar keqdashës në rrjetin e viktimës përfshinte nxjerrjen e të dhënave të ndjeshme para vendosjes së ransomware-it. Sulmuesit transferuan informacion duke përdorur Rclone në "shportat" e ruajtjes në cloud të vendosura në Wasabi. Kjo fazë u pasua nga prezantimi në faza i mjeteve për të vendosur kontrollin, për të lëvizur anash dhe për të përgatitur mjedisin për enkriptim.

U përdorën një sërë shërbimesh që ofronin shërbime jashtë tokës dhe me përdorim të dyfishtë, së bashku me komponentë të menaxhimit në distancë, për t'u integruar në aktivitetin normal administrativ dhe për të minimizuar zbulimin e hershëm.

Lidhje të dyshuara me operacionet e Ransomware-it të INC-së

Disa tregues sugjerojnë mbivendosje të mundshme me aktorë të lidhur më parë me ransomware-in INC (i njohur edhe si Warble). Veçanërisht, sulmuesit përdorën një version të Mimikatz që mban të njëjtin emër skedari, kaz.exe, i cili është vërejtur në incidente të mëparshme të lidhura me INC. Për më tepër, infrastruktura e nxjerrjes dhe tregtia pasqyrojnë nga afër teknikat që i janë atribuar më parë atij ekosistemi, megjithëse nuk është përcaktuar asnjë atribuim përfundimtar.

Shoferi POORTRY dhe Taktikat BYOVD

Një tipar qendror i ndërhyrjes ishte vendosja e një drajveri keqdashës të njohur si POORTRY, i përdorur në një sulm të stilit "sill-të-veten-driver-të-vulnerabël" (BYOVD) për të neutralizuar mbrojtjet e pikave fundore. Ndryshe nga operacionet tradicionale BYOVD që mbështeten në drajverë legjitimë, por me të meta, POORTRY është një drajver i personalizuar i projektuar posaçërisht për të rritur privilegjet dhe për të mbyllur mjetet e sigurisë.

Mjedisi u përgatit më tej duke përdorur KillAV, një program i njohur për ngarkimin e drajverëve të cenueshëm për të çaktivizuar softuerët mbrojtës. Gjithashtu u aktivizua edhe Protokolli i Desktopit në Remote, me shumë mundësi për të lehtësuar aksesin interaktiv të vazhdueshëm.

Aftësitë e Osiris Ransomware

Osiris është përshkruar si një ngarkesë enkriptimi e pjekur dhe efektive, që ka të ngjarë të operohet nga aktorë kërcënimesh me përvojë. Ai zbaton një model hibrid kriptografik dhe gjeneron një çelës unik enkriptimi për secilin skedar, duke i komplikuar ndjeshëm përpjekjet e rikuperimit. Ransomware mbështet konfigurim të gjerë, duke u lejuar operatorëve të përsosin ekzekutimin sipas mjedisit të viktimës.

Karakteristikat kryesore funksionale përfshijnë:

  • Ndërprerja e shërbimeve, ndërprerja e proceseve dhe çaktivizimi i kopjeve rezervë ose mekanizmave të rikuperimit.
  • Përcaktimi i dosjeve dhe zgjerimeve të skedarëve të synuar, dhe gjenerimi i një shënimi të personalizuar për shpërblim pas përfundimit.

Si parazgjedhje, Osiris është konfiguruar për të ndërprerë në mënyrë agresive proceset dhe shërbimet e lidhura me softuerët e produktivitetit, serverët e email-it, shfletuesit, redaktorët e tekstit, Volume Shadow Copy dhe platformat e kopjimit rezervë të ndërmarrjeve si Veeam.

Mjetet e përdorura për të mbështetur ndërhyrjen

Përtej vetë ransomware-it, sulmuesit u mbështetën në një sërë mjetesh zbulimi, lëvizjeje anësore dhe shërbimeve të menaxhimit në distancë për të ruajtur kontrollin operacional. Mjetet e vëzhguara gjatë ndërhyrjes përfshinin:

  • Netscan dhe Netexec për zbulimin dhe ekzekutimin e rrjetit.
  • MeshAgent dhe një version i personalizuar i aplikacionit të desktopit në distancë Rustdesk për akses të vazhdueshëm në distancë.
  • Rclone për ekstrafiltrimin automatik të të dhënave në ruajtjen në cloud.

Implikimet për peizazhin në zhvillim të zhvatjes

Ndërsa enkriptimi i ransomware-it vazhdon të paraqesë një rrezik të konsiderueshëm për organizatat, ky incident nxjerr në pah një evolucion më të gjerë drejt fushatave shumëplanëshe të zhvatjes. Theksi në rritje në vjedhjen e të dhënave, shmangia e mbrojtjes përmes drajverëve keqdashës dhe përhapja në rritje e sulmeve pa enkriptim ose hibride po zgjerojnë peizazhin e kërcënimeve. Si rezultat, ransomware po bëhet vetëm një komponent brenda një ekosistemi më të gjerë dhe më kompleks të zhvatjes që kërkon strategji mbrojtëse po aq adaptive.

Në trend

Më e shikuara

Po ngarkohet...