Попуст за више лиценци
Тхреат Датабасе Рансомваре Породица Озирис рансомвера

Породица Озирис рансомвера

До Mezo. у Рансомваре, Напредна трајна претња (АПТ)
Преведи на:

Истраживачи сајбер безбедности открили су раније недокументовану породицу ransomware-а названу Osiris, након напада на великог оператера франшизе за угоститељске услуге у југоисточној Азији у новембру 2025. године. Анализе показују да је ово новоразвијени сој ransomware-а и да није повезан са варијантом Osiris-а примећеном у децембру 2016. године, која је изведена из Locky-ја. Идентитет програмера остаје непознат и нема потврде да се злонамерни софтвер нуди као део операције Ransomware-as-a-Service.

Ланац напада и почетно компромитовање

Најранија потврђена злонамерна активност на мрежи жртве укључивала је крађу осетљивих података пре распоређивања ransomware-а. Нападачи су преносили информације користећи Rclone у складишта у облаку хостована на Wasabi-ју. Након ове фазе уследило је постепено увођење алата за успостављање контроле, бочно кретање и припрему окружења за шифровање.

Разноврсни комунални објекти за живот од земље и двоструке намене коришћени су, заједно са компонентама даљинског управљања, како би се уклопили у нормалне административне активности и минимизирало рано откривање.

Сумњиве везе са INC Ransomware операцијама

Неколико индикатора указује на потенцијално преклапање са актерима који су раније били повезани са INC ransomware-ом (познатим и као Warble). Приметно је да су нападачи користили верзију Mimikatz-а са истим називом датотеке, kaz.exe, што је примећено у ранијим инцидентима повезаним са INC-ом. Поред тога, инфраструктура за извлачење и занатске вештине блиско одражавају технике које су раније приписиване том екосистему, иако није утврђена дефинитивна атрибуција.

Возач сиромаштва и тактике „Дај своје дете“

Централна карактеристика упада била је примена злонамерног драјвера познатог као POORTRY, који се користи у нападу типа „донеси свој рањиви драјвер“ (BYOVD) за неутрализацију одбране крајњих тачака. За разлику од традиционалних BYOVD операција које се ослањају на легитимне, али неисправне драјвере, POORTRY је драјвер по мери посебно дизајниран за повећање привилегија и прекид безбедносних алата.

Окружење је додатно припремљено коришћењем KillAV-а, познатог услужног програма за учитавање рањивих драјвера ради онемогућавања заштитног софтвера. Такође је омогућен Remote Desktop Protocol, вероватно ради олакшавања трајног интерактивног приступа.

Могућности Озирис рансомвера

Озирис је описан као зрео и ефикасан програм за шифровање, којим вероватно управљају искусни претње. Он имплементира хибридни криптографски модел и генерише јединствени кључ за шифровање за сваку датотеку, што значајно компликује напоре опоравка. Рансомвер подржава опсежну конфигурацију, омогућавајући оператерима да фино подесе извршење према окружењу жртве.

Кључне функционалне карактеристике укључују:

  • Заустављање услуга, прекидање процеса и онемогућавање резервних копија или механизама за опоравак.
  • Дефинисање циљаних фасцикли и екстензија датотека и генерисање прилагођене поруке са захтевом за откуп након завршетка.

Подразумевано, Озирис је конфигурисан да агресивно прекида процесе и услуге повезане са софтвером за продуктивност, имејл серверима, прегледачима, уређивачима текста, Volume Shadow Copy-ом и платформама за прављење резервних копија предузећа као што је Veeam.

Алати који се користе за подршку упада

Поред самог ransomware-а, нападачи су се ослањали на скуп алата за извиђање, бочно кретање и услужне програме за даљинско управљање како би одржали оперативну контролу. Алати примећени током упада су укључивали:

  • Netscan и Netexec за откривање и извршавање мреже.
  • MeshAgent и прилагођена верзија апликације за удаљену радну површину Rustdesk за трајни даљински приступ.
  • Rclone за аутоматизовано пребацивање података у складиште у облаку.

Импликације за еволуирајући пејзаж изнуде

Иако шифровање ransomware-а и даље представља значајан ризик за организације, овај инцидент указује на ширу еволуцију ка вишеслојним кампањама изнуде. Све већи нагласак на крађи података, избегавању одбране путем злонамерних драјвера и све већа распрострањеност напада без шифровања или хибридних напада шире пејзаж претњи. Као резултат тога, ransomware постаје само једна компонента унутар ширег, сложенијег екосистема изнуде који захтева подједнако адаптивне одбрамбене стратегије.

У тренду

Најгледанији

Злонамерних програма

Пецање, Спам
28,458
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...