Multi-License Discount Quote
Banta sa Database Ransomware Pamilya ng Osiris Ransomware

Pamilya ng Osiris Ransomware

Sa pamamagitan ng Mezo sa Ransomware, Advanced Persistent Threat (APT)
Isalin To:

Isiniwalat ng mga mananaliksik sa cybersecurity ang isang dating hindi dokumentadong pamilya ng ransomware na tinatawag na Osiris, kasunod ng isang pag-atake laban sa isang pangunahing operator ng prangkisa ng serbisyo sa pagkain sa Timog-silangang Asya noong Nobyembre 2025. Ipinapahiwatig ng pagsusuri na ito ay isang bagong binuong strain ng ransomware at walang kaugnayan sa variant ng Osiris na naobserbahan noong Disyembre 2016 na nagmula kay Locky. Nananatiling hindi alam ang pagkakakilanlan ng mga developer, at walang kumpirmasyon na ang malware ay inaalok bilang bahagi ng isang operasyon ng Ransomware-as-a-Service.

Kadena ng Pag-atake at Paunang Kompromiso

Ang pinakaunang nakumpirmang malisyosong aktibidad sa network ng biktima ay kinasasangkutan ng pag-exfiltration ng sensitibong data bago ang pag-deploy ng ransomware. Inilipat ng mga attacker ang impormasyon gamit ang Rclone papunta sa mga cloud storage bucket na naka-host sa Wasabi. Sinundan ang yugtong ito ng unti-unting pagpapakilala ng mga tooling upang maitatag ang kontrol, gumalaw nang pahilig, at ihanda ang kapaligiran para sa encryption.

Ginamit ang iba't ibang kagamitan na maaaring mabuhay nang wala sa lupa at para sa dalawang gamit, kasama ang mga bahagi ng malayuang pamamahala, upang maihalo sa normal na aktibidad administratibo at mabawasan ang maagang pagtuklas.

Mga Pinaghihinalaang Link sa mga Operasyon ng INC Ransomware

Ilang indikasyon ang nagmumungkahi ng potensyal na pagsasanib sa mga aktor na dating nauugnay sa INC ransomware (kilala rin bilang Warble). Kapansin-pansin, gumamit ang mga umaatake ng isang bersyon ng Mimikatz na may parehong pangalan ng file, kaz.exe, na naobserbahan sa mga naunang insidente na may kaugnayan sa INC. Bukod pa rito, ang imprastraktura at tradecraft ng exfiltration ay halos kapareho ng mga pamamaraan na dating iniuugnay sa ecosystem na iyon, bagama't walang tiyak na pagpapalagay na naitatag.

Ang mga Taktika ng POORTRY Driver at BYOVD

Isang pangunahing katangian ng panghihimasok ay ang pag-deploy ng isang malisyosong driver na kilala bilang POORTRY, na ginagamit sa isang atakeng istilong bring-your-own-vulnerable-driver (BYOVD) upang i-neutralize ang mga depensa ng endpoint. Hindi tulad ng mga tradisyonal na operasyon ng BYOVD na umaasa sa mga lehitimo ngunit may depektong driver, ang POORTRY ay isang bespoke driver na partikular na ginawa upang mapataas ang mga pribilehiyo at wakasan ang mga tool sa seguridad.

Ang kapaligiran ay higit pang inihanda gamit ang KillAV, isang kilalang utility para sa paglo-load ng mga vulnerable driver upang i-disable ang protective software. Pinagana rin ang Remote Desktop Protocol, malamang upang mapadali ang persistent interactive access.

Mga Kakayahan ng Osiris Ransomware

Ang Osiris ay inilarawan bilang isang mature at epektibong encryption payload, na malamang na pinapatakbo ng mga bihasang threat actor. Nagpapatupad ito ng hybrid cryptographic model at bumubuo ng kakaibang encryption key para sa bawat file, na lubhang nagpapahirap sa mga pagsisikap sa pagbawi. Sinusuportahan ng ransomware ang malawak na configuration, na nagbibigay-daan sa mga operator na pinuhin ang pagpapatupad ayon sa kapaligiran ng biktima.

Ang mga pangunahing tampok na gumagana ay kinabibilangan ng:

  • Paghinto ng mga serbisyo, pagtatapos ng mga proseso, at pag-disable ng mga backup o mekanismo ng pagbawi.
  • Pagtukoy sa mga naka-target na folder at mga extension ng file, at pagbuo ng isang customized na tala ng ransom pagkatapos makumpleto.

Bilang default, ang Osiris ay naka-configure upang agresibong wakasan ang mga proseso at serbisyo na nauugnay sa productivity software, mga email server, mga browser, mga text editor, Volume Shadow Copy, at mga enterprise backup platform tulad ng Veeam.

Mga Kagamitang Ginamit upang Suportahan ang Panghihimasok

Bukod sa mismong ransomware, umasa ang mga umaatake sa isang toolkit ng pagmamanman, lateral movement, at mga remote management utilities upang mapanatili ang operational control. Kabilang sa mga kagamitang naobserbahan sa panahon ng panghihimasok ay:

  • Netscan at Netexec para sa pagtuklas at pagpapatupad ng network.
  • MeshAgent at isang customized na build ng Rustdesk remote desktop application para sa persistent remote access.
  • Rclone para sa awtomatikong pag-exfilt ng data papunta sa cloud storage.

Mga Implikasyon para sa Nagbabagong Tanawin ng Pangingikil

Bagama't patuloy na nagdudulot ng malaking panganib sa mga organisasyon ang pag-encrypt ng ransomware, itinatampok ng insidenteng ito ang mas malawak na ebolusyon tungo sa maraming aspeto ng mga kampanya ng pangingikil. Ang tumataas na diin sa pagnanakaw ng data, pag-iwas sa depensa sa pamamagitan ng mga malisyosong tagapagdulot, at ang lumalaking paglaganap ng mga encryptionless o hybrid na pag-atake ay nagpapalawak sa tanawin ng mga banta. Bilang resulta, ang ransomware ay nagiging isa na lamang bahagi sa loob ng isang mas malawak at mas kumplikadong ecosystem ng pangingikil na nangangailangan ng pantay na adaptive na mga diskarte sa pagtatanggol.

Trending

Pinaka Nanood

Naglo-load...