Rabattoffert för flera licenser
Hotdatabas Ransomware Osiris Ransomware-familjen

Osiris Ransomware-familjen

Med Mezo år Ransomware, Advanced Persistent Threat (APT)
Översätt till:

Cybersäkerhetsforskare har avslöjat en tidigare odokumenterad ransomware-familj kallad Osiris, efter en attack mot en stor restaurangfranchiseoperatör i Sydostasien i november 2025. Analysen indikerar att detta är en nyutvecklad ransomware-stam och inte relaterad till Osiris-varianten som observerades i december 2016 och som härleddes från Locky. Utvecklarnas identitet är fortfarande okänd, och det finns ingen bekräftelse på att skadlig kod erbjuds som en del av en Ransomware-as-a-Service-operation.

Attackkedja och initial kompromiss

Den tidigaste bekräftade skadliga aktiviteten i offrets nätverk involverade exfiltrering av känsliga data före utplacering av ransomware. Angripare överförde information med hjälp av Rclone till molnlagringsplatser på Wasabi. Denna fas följdes av ett stegvis införande av verktyg för att etablera kontroll, förflytta sig i sidled och förbereda miljön för kryptering.

En mängd olika typer av jordbruksanläggningar och verktyg för dubbel användning utnyttjades, tillsammans med komponenter för fjärrhantering, för att integreras i den normala administrativa verksamheten och minimera tidig upptäckt.

Misstänkta länkar till INC:s ransomware-operationer

Flera indikatorer tyder på potentiell överlappning med aktörer som tidigare kopplats till INC-ransomware (även känt som Warble). Angriparna använde i synnerhet en version av Mimikatz med samma filnamn, kaz.exe, vilket har observerats i tidigare INC-relaterade incidenter. Dessutom speglar exfiltreringsinfrastrukturen och handelsvarusystemet noggrant tekniker som tidigare tillskrivits det ekosystemet, även om ingen definitiv tillskrivning har fastställts.

POORTRY-föraren och BYOVD-taktik

En central del av intrånget var utplaceringen av en skadlig drivrutin som kallas POORTRY, som användes i en BYOVD-attack (bring-your-own-vulnerable-driver) för att neutralisera endpoint-försvar. Till skillnad från traditionella BYOVD-operationer som förlitar sig på legitima men bristfälliga drivrutiner, är POORTRY en skräddarsydd drivrutin som är specifikt konstruerad för att utöka behörigheter och avsluta säkerhetsverktyg.

Miljön förbereddes vidare med hjälp av KillAV, ett känt verktyg för att ladda sårbara drivrutiner för att inaktivera skyddande programvara. Remote Desktop Protocol aktiverades också, sannolikt för att underlätta ihållande interaktiv åtkomst.

Funktioner hos Osiris Ransomware

Osiris har beskrivits som en mogen och effektiv krypteringsnyttolast, sannolikt driven av erfarna hotaktörer. Den implementerar en hybridkryptografisk modell och genererar en unik krypteringsnyckel för varje fil, vilket avsevärt komplicerar återställningsarbetet. Ransomware stöder omfattande konfiguration, vilket gör det möjligt för operatörer att finjustera körningen till offrets miljö.

Viktiga funktionella funktioner inkluderar:

  • Stoppa tjänster, avsluta processer och inaktivera säkerhetskopior eller återställningsmekanismer.
  • Definiera riktade mappar och filändelser och generera en anpassad lösensumma när den är klar.

Som standard är Osiris konfigurerat för att aggressivt avsluta processer och tjänster som är associerade med produktivitetsprogramvara, e-postservrar, webbläsare, textredigerare, Volume Shadow Copy och säkerhetskopieringsplattformar för företag som Veeam.

Verktyg som används för att stödja intrånget

Utöver själva ransomware-viruset förlitade sig angriparna på en verktygslåda med verktyg för rekognoscering, sidledsförflyttning och fjärrhantering för att upprätthålla operationell kontroll. Verktyg som observerades under intrånget inkluderade:

  • Netscan och Netexec för nätverksidentifiering och exekvering.
  • MeshAgent och en anpassad version av Rustdesk-fjärrskrivbordsapplikationen för permanent fjärråtkomst.
  • Rclone för automatiserad dataexfiltrering till molnlagring.

Implikationer för det föränderliga utpressningslandskapet

Även om kryptering av ransomware fortsätter att utgöra en betydande risk för organisationer, belyser denna incident en bredare utveckling mot mångfacetterade utpressningskampanjer. Den ökande betoningen på datastöld, försvarsflykt genom skadliga drivrutiner och den växande förekomsten av krypteringslösa eller hybridattacker utökar hotbilden. Som ett resultat blir ransomware bara en komponent i ett bredare, mer komplext utpressningsekosystem som kräver lika anpassningsbara försvarsstrategier.

Trendigt

Mest sedda

Läser in...