Osiris Fidye Yazılımı Ailesi

Mezo'de Fidye yazılımı, Gelişmiş Sürekli Tehdit (APT)'de

Çevir:

Siber güvenlik araştırmacıları, Kasım 2025'te Güneydoğu Asya'daki büyük bir gıda hizmeti franchise işletmesine yönelik bir saldırının ardından, Osiris adı verilen daha önce belgelenmemiş bir fidye yazılımı ailesini ortaya çıkardı. Analizler, bunun yeni geliştirilmiş bir fidye yazılımı türü olduğunu ve Aralık 2016'da gözlemlenen ve Locky'den türetilen Osiris varyantıyla ilişkili olmadığını gösteriyor. Geliştiricilerin kimliği bilinmiyor ve kötü amaçlı yazılımın Hizmet Olarak Fidye Yazılımı (Ransomware-as-a-Service) operasyonunun bir parçası olarak sunulduğuna dair bir teyit yok.

İçindekiler

Saldırı Zinciri ve İlk Uzlaşma

Kurban ağındaki en erken teyit edilmiş kötü amaçlı faaliyet, fidye yazılımı dağıtımından önce hassas verilerin sızdırılmasını içeriyordu. Saldırganlar, Rclone kullanarak bilgileri Wasabi'de barındırılan bulut depolama alanlarına aktardı. Bu aşamayı, kontrolü sağlamak, yatay hareket etmek ve şifreleme için ortamı hazırlamak amacıyla araçların aşamalı olarak devreye alınması izledi.

Normal idari faaliyetlere entegre olmak ve erken tespiti en aza indirmek için, araziden yararlanma ve çift amaçlı kullanım gibi çeşitli altyapı sistemlerinden ve uzaktan yönetim bileşenlerinden faydalanıldı.

INC fidye yazılımı operasyonlarıyla bağlantılı olduğundan şüpheleniliyor.

Birkaç gösterge, daha önce INC fidye yazılımıyla (Warble olarak da bilinir) ilişkilendirilen aktörlerle potansiyel bir örtüşme olduğunu düşündürmektedir. Özellikle, saldırganlar daha önceki INC ile ilgili olaylarda gözlemlenen kaz.exe dosya adına sahip bir Mimikatz sürümü kullandılar. Ek olarak, veri sızdırma altyapısı ve yöntemleri, kesin bir atıf henüz yapılmamış olsa da, daha önce bu ekosisteme atfedilen teknikleri yakından yansıtmaktadır.

POORTRY Sürücüsü ve BYOVD Taktikleri

Saldırının temel özelliklerinden biri, uç nokta savunmalarını etkisiz hale getirmek için kullanılan POORTRY adlı kötü amaçlı bir sürücünün devreye alınmasıydı. Geleneksel BYOVD operasyonlarının aksine, POORTRY, ayrıcalıkları yükseltmek ve güvenlik araçlarını sonlandırmak için özel olarak tasarlanmış bir sürücüdür.

Ortam ayrıca, koruyucu yazılımları devre dışı bırakmak için güvenlik açığı bulunan sürücüleri yüklemek amacıyla kullanılan bilinen bir yardımcı program olan KillAV kullanılarak hazırlandı. Kalıcı etkileşimli erişimi kolaylaştırmak amacıyla Uzaktan Masaüstü Protokolü de etkinleştirildi.

Osiris Fidye Yazılımının Yetenekleri

Osiris, deneyimli tehdit aktörleri tarafından işletilen, olgun ve etkili bir şifreleme zararlı yazılımı olarak tanımlanmıştır. Hibrit bir şifreleme modeli uygular ve her dosya için benzersiz bir şifreleme anahtarı oluşturarak kurtarma çabalarını önemli ölçüde zorlaştırır. Fidye yazılımı, kapsamlı yapılandırmayı destekleyerek operatörlerin yürütmeyi kurbanın ortamına göre ince ayar yapmasına olanak tanır.

Başlıca işlevsel özellikler şunlardır:

Hizmetlerin durdurulması, işlemlerin sonlandırılması ve yedekleme veya kurtarma mekanizmalarının devre dışı bırakılması.
Hedeflenen klasörleri ve dosya uzantılarını tanımlamak ve işlem tamamlandığında özelleştirilmiş bir fidye notu oluşturmak.

Varsayılan olarak, Osiris, üretkenlik yazılımları, e-posta sunucuları, tarayıcılar, metin editörleri, Volume Shadow Copy ve Veeam gibi kurumsal yedekleme platformlarıyla ilişkili süreçleri ve hizmetleri agresif bir şekilde sonlandıracak şekilde yapılandırılmıştır.

Saldırıyı Desteklemek İçin Kullanılan Aletler

Saldırganlar, fidye yazılımının kendisinin ötesinde, operasyonel kontrolü sürdürmek için keşif, yatay hareket ve uzaktan yönetim araçlarından oluşan bir araç setine güvendiler. Saldırı sırasında gözlemlenen araçlar şunlardı:

Ağ keşfi ve yürütülmesi için Netscan ve Netexec.
MeshAgent ve kalıcı uzaktan erişim için özelleştirilmiş bir Rustdesk uzaktan masaüstü uygulaması.
Verilerin bulut depolama alanına otomatik olarak aktarılması için Rclone.

Gelişen Şantaj Ortamı İçin Çıkarımlar

Şifrelemeli fidye yazılımları kuruluşlar için önemli bir risk oluşturmaya devam ederken, bu olay çok yönlü şantaj kampanyalarına doğru daha geniş bir evrimi vurgulamaktadır. Veri hırsızlığına verilen artan önem, kötü amaçlı yazılımlar aracılığıyla savunmadan kaçınma ve şifreleme gerektirmeyen veya hibrit saldırıların giderek yaygınlaşması, tehdit ortamını genişletmektedir. Sonuç olarak, fidye yazılımları, aynı derecede uyarlanabilir savunma stratejileri gerektiren daha geniş ve karmaşık bir şantaj ekosisteminin yalnızca bir bileşeni haline gelmektedir.

EnigmaSoft'un Ödeme İşlemcisi Digital River GmbH'nin İflas Başvurusunda Bulunması SpyHunter Müşterilerinin Kötü Amaçlı Yazılımlara Karşı Korumasını Etkilemiyor

Ara

Bölge değiştir

Osiris Fidye Yazılımı Ailesi

Saldırı Zinciri ve İlk Uzlaşma

INC fidye yazılımı operasyonlarıyla bağlantılı olduğundan şüpheleniliyor.

POORTRY Sürücüsü ve BYOVD Taktikleri

Osiris Fidye Yazılımının Yetenekleri

Saldırıyı Desteklemek İçin Kullanılan Aletler

Gelişen Şantaj Ortamı İçin Çıkarımlar

Yorum Gönder

trend

Axischainedge.com

MegaETH Kayıt Dolandırıcılığı

Web Bilgilerini Çalma Saldırı Kampanyası

En çok görüntülenen

'Yazıcı Sürücüsü Kullanılamıyor' Hatası Nasıl Onarılır

Discord Ekranı Paylaşırken Siyah Ekran Görüyor

Nasıl Düzeltilir 'macOS bu uygulamanın kötü amaçlı...