ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม แรนซัมแวร์ ตระกูลแรนซัมแวร์ Osiris

ตระกูลแรนซัมแวร์ Osiris

โดย Mezo ใน แรนซัมแวร์, ภัยคุกคามขั้นสูงที่คงอยู่ (APT)
แปลเป็น:

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยตระกูลมัลแวร์เรียกค่าไถ่ที่ไม่เคยมีการบันทึกมาก่อน ซึ่งมีชื่อว่า Osiris หลังจากการโจมตีผู้ประกอบการแฟรนไชส์บริการอาหารรายใหญ่ในเอเชียตะวันออกเฉียงใต้เมื่อเดือนพฤศจิกายน 2025 การวิเคราะห์ชี้ให้เห็นว่านี่คือมัลแวร์เรียกค่าไถ่สายพันธุ์ใหม่ที่พัฒนาขึ้น และไม่เกี่ยวข้องกับ Osiris สายพันธุ์ที่พบในเดือนธันวาคม 2016 ซึ่งพัฒนามาจาก Locky ตัวตนของผู้พัฒนายังคงไม่เป็นที่รู้จัก และยังไม่มีการยืนยันว่ามัลแวร์นี้เป็นส่วนหนึ่งของการให้บริการเรียกค่าไถ่แบบ Ransomware-as-a-Service หรือไม่

ลำดับการโจมตีและการบุกรุกเบื้องต้น

กิจกรรมที่เป็นอันตรายที่ได้รับการยืนยันครั้งแรกบนเครือข่ายของเหยื่อเกี่ยวข้องกับการขโมยข้อมูลสำคัญก่อนที่จะมีการติดตั้งแรนซัมแวร์ ผู้โจมตีถ่ายโอนข้อมูลโดยใช้ Rclone ไปยังที่เก็บข้อมูลบนคลาวด์ที่โฮสต์บน Wasabi ขั้นตอนนี้ตามมาด้วยการทยอยนำเครื่องมือต่างๆ เข้ามาเพื่อสร้างการควบคุม เคลื่อนย้ายไปยังส่วนอื่นๆ ของระบบ และเตรียมสภาพแวดล้อมสำหรับการเข้ารหัส

มีการใช้ประโยชน์จากระบบการดำรงชีวิตด้วยทรัพยากรธรรมชาติและระบบสาธารณูปโภคแบบใช้งานสองวัตถุประสงค์หลากหลายรูปแบบ ควบคู่ไปกับองค์ประกอบการจัดการระยะไกล เพื่อให้กลมกลืนกับกิจกรรมการบริหารปกติและลดโอกาสในการตรวจจับในระยะเริ่มต้น

ต้องสงสัยว่ามีความเชื่อมโยงกับการปฏิบัติการแรนซัมแวร์ของ INC

ตัวบ่งชี้หลายประการชี้ให้เห็นถึงความเป็นไปได้ที่จะมีความซ้ำซ้อนกับกลุ่มผู้โจมตีที่เคยเกี่ยวข้องกับแรนซัมแวร์ INC (หรือที่รู้จักกันในชื่อ Warble) โดยเฉพาะอย่างยิ่ง ผู้โจมตีใช้ Mimikatz เวอร์ชันที่มีชื่อไฟล์เดียวกันคือ kaz.exe ซึ่งเคยพบในเหตุการณ์ที่เกี่ยวข้องกับ INC ก่อนหน้านี้ นอกจากนี้ โครงสร้างพื้นฐานในการขโมยข้อมูลและเทคนิคการโจมตีก็คล้ายคลึงกับเทคนิคที่เคยถูกระบุว่าเป็นของระบบนิเวศนั้น แม้ว่าจะยังไม่มีการระบุแหล่งที่มาอย่างแน่ชัดก็ตาม

กลยุทธ์การขับรถ POORTRY และ BYOVD

จุดเด่นสำคัญของการโจมตีครั้งนี้คือการติดตั้งไดรเวอร์ที่เป็นอันตรายที่รู้จักกันในชื่อ POORTRY ซึ่งใช้ในรูปแบบการโจมตีแบบนำไดรเวอร์ที่มีช่องโหว่ของตนเองมาใช้ (BYOVD) เพื่อทำให้ระบบป้องกันปลายทางใช้งานไม่ได้ แตกต่างจากการโจมตี BYOVD แบบดั้งเดิมที่อาศัยไดรเวอร์ที่ถูกต้องแต่มีข้อบกพร่อง POORTRY เป็นไดรเวอร์ที่ออกแบบมาโดยเฉพาะเพื่อยกระดับสิทธิ์และยุติการทำงานของเครื่องมือรักษาความปลอดภัย

มีการเตรียมสภาพแวดล้อมเพิ่มเติมโดยใช้ KillAV ซึ่งเป็นยูทิลิตี้ที่รู้จักกันดีในการโหลดไดรเวอร์ที่มีช่องโหว่เพื่อปิดใช้งานซอฟต์แวร์ป้องกัน นอกจากนี้ยังเปิดใช้งานโปรโตคอลการเข้าถึงระยะไกล (Remote Desktop Protocol) ซึ่งน่าจะอำนวยความสะดวกในการเข้าถึงแบบโต้ตอบอย่างต่อเนื่อง

ความสามารถของแรนซัมแวร์ Osiris

Osiris ถูกอธิบายว่าเป็นมัลแวร์เข้ารหัสข้อมูลที่มีประสิทธิภาพสูง ซึ่งน่าจะดำเนินการโดยผู้โจมตีที่มีประสบการณ์ มันใช้โมเดลการเข้ารหัสแบบไฮบริดและสร้างคีย์การเข้ารหัสที่ไม่ซ้ำกันสำหรับแต่ละไฟล์ ทำให้การกู้คืนข้อมูลทำได้ยากขึ้นอย่างมาก มัลแวร์เรียกค่าไถ่นี้รองรับการกำหนดค่าอย่างกว้างขวาง ทำให้ผู้โจมตีสามารถปรับแต่งการทำงานให้เหมาะสมกับสภาพแวดล้อมของเหยื่อได้

คุณสมบัติการใช้งานหลักประกอบด้วย:

  • การหยุดให้บริการ การยุติกระบวนการ และการปิดใช้งานกลไกการสำรองข้อมูลหรือการกู้คืน
  • การกำหนดโฟลเดอร์และนามสกุลไฟล์เป้าหมาย และการสร้างข้อความเรียกค่าไถ่แบบกำหนดเองเมื่อดำเนินการเสร็จสิ้น

โดยค่าเริ่มต้น Osiris จะถูกตั้งค่าให้ยุติกระบวนการและบริการที่เกี่ยวข้องกับซอฟต์แวร์ด้านการทำงาน อีเมลเซิร์ฟเวอร์ เบราว์เซอร์ โปรแกรมแก้ไขข้อความ Volume Shadow Copy และแพลตฟอร์มสำรองข้อมูลระดับองค์กร เช่น Veeam อย่างเข้มงวด

เครื่องมือที่ใช้ในการสนับสนุนการบุกรุก

นอกเหนือจากมัลแวร์เรียกค่าไถ่แล้ว ผู้โจมตียังอาศัยชุดเครื่องมือสอดแนม การเคลื่อนที่ในเครือข่าย และยูทิลิตี้การจัดการระยะไกลเพื่อรักษาการควบคุมการปฏิบัติงาน เครื่องมือที่พบระหว่างการบุกรุก ได้แก่:

  • Netscan และ Netexec ใช้สำหรับการค้นหาและเรียกใช้งานโปรแกรมบนเครือข่าย
  • MeshAgent และแอปพลิเคชัน Rustdesk สำหรับการเข้าถึงระยะไกลแบบถาวร ซึ่งได้รับการปรับแต่งเป็นพิเศษ
  • Rclone สำหรับการดึงข้อมูลอัตโนมัติไปยังที่เก็บข้อมูลบนคลาวด์

นัยสำคัญต่อภูมิทัศน์การรีดไถที่เปลี่ยนแปลงไป

แม้ว่าแรนซัมแวร์ที่เข้ารหัสข้อมูลยังคงเป็นภัยคุกคามที่สำคัญต่อองค์กรต่างๆ แต่เหตุการณ์นี้เน้นให้เห็นถึงวิวัฒนาการที่กว้างขึ้นไปสู่แคมเปญการเรียกค่าไถ่แบบหลายแง่มุม การให้ความสำคัญกับการขโมยข้อมูล การหลีกเลี่ยงการป้องกันผ่านไดรเวอร์ที่เป็นอันตราย และการแพร่หลายมากขึ้นของการโจมตีแบบไม่เข้ารหัสหรือแบบไฮบริด กำลังขยายขอบเขตของภัยคุกคาม ส่งผลให้แรนซัมแวร์กลายเป็นเพียงองค์ประกอบหนึ่งในระบบนิเวศการเรียกค่าไถ่ที่กว้างขึ้นและซับซ้อนมากขึ้น ซึ่งต้องการกลยุทธ์การป้องกันที่ปรับตัวได้เช่นกัน

มาแรง

Axischainedge.com

เว็บไซต์อันธพาล, แอดแวร์, แฮกเกอร์เบราว์เซอร์
การระมัดระวังอย่างต่อเนื่องขณะท่องเว็บเป็นสิ่งสำคัญ เว็บไซต์ที่ไม่พึงประสงค์ถูกออกแบบมาเพื่อใช้ประโยชน์จากความไม่ระมัดระวังและความอยากรู้อยากเห็น โดยมักใช้กลยุทธ์หลอกลวง เช่น การตรวจสอบ CAPTCHA...

การหลอกลวงการลงทะเบียน MegaETH

เว็บไซต์อันธพาล
การใช้ความระมัดระวังขณะท่องอินเทอร์เน็ตไม่ใช่เรื่องที่เลือกได้อีกต่อไป แต่เป็นสิ่งจำเป็น อาชญากรไซเบอร์พัฒนาวิธีการใหม่ๆ อย่างต่อเนื่องเพื่อหลอกลวงผู้ใช้...

แคมเปญโจมตีการขโมยข้อมูลเว็บไซต์

เว็บไซต์อันธพาล
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญการขโมยข้อมูลบัตรเครดิตขนาดใหญ่ที่ยังคงดำเนินอยู่ตั้งแต่เดือนมกราคม 2022 โดยมุ่งเป้าไปที่องค์กรธุรกิจขนาดใหญ่ที่ใช้เครือข่ายการชำระเงินหลักๆ เช่น...

เข้าชมมากที่สุด

มัลแวร์

ฟิชชิ่ง, สแปม
28,458
ข้อความหลอกลวง 'Apple Pay Suspended' เป็นกลวิธีฟิชชิงประเภทหนึ่งที่กำหนดเป้าหมายผู้ใช้ Apple Pay ข้อความอ้างว่ากระเป๋าเงิน Apple Pay ของผู้ใช้ถูกระงับและขอให้คลิกลิงก์เพื่อกู้คืน อย่างไรก็ตาม การคลิกลิงก์จะนำผู้ใช้ไปยังเว็บไซต์ปลอมที่ออกแบบมาเพื่อขโมยข้อมูลส่วนบุคคลและข้อมูลทางการเงิน หากผู้ใช้ตกเป็นเหยื่อของแผนการนี้ ผลที่ตามมาอาจร้ายแรง...
'Geek Squad' อีเมลหลอกลวง สกรีนช็อต

'Geek Squad' อีเมลหลอกลวง

ฟิชชิ่ง, สแปม
25,811
Geek Squad ผู้ให้บริการสนับสนุนด้านเทคนิคยอดนิยม ได้กลายเป็นเหยื่อของกลโกงฟิชชิ่งที่เรียกว่า Geek Squad Email Scam กลโกงการสนับสนุนทางเทคนิคนี้ใช้อีเมลปลอมที่หลอกลวงให้ผู้คนเปิดเผยข้อมูลส่วนบุคคล...

Fuq.คอม

โปรแกรมต่อต้านสปายแวร์ Rogue, มัลแวร์ Mac
22,528
Fuq.com เป็นโปรแกรมประเภทแอดแวร์ที่ส่งเสริมเว็บไซต์ที่มีเนื้อหาอนาจาร แคมเปญโฆษณาของโปรแกรมที่อาจไม่เป็นที่ต้องการ (PUP) นี้มีความก้าวร้าวมาก...
กำลังโหลด...