Знижка на кілька ліцензій
База даних загроз програми-вимагачі Сімейство програм-вимагачів Osiris

Сімейство програм-вимагачів Osiris

До Mezo року в програми-вимагачі, Розширена постійна загроза (APT) році
Перекласти на:

Дослідники з кібербезпеки виявили раніше не документоване сімейство програм-вимагачів під назвою Osiris після атаки на великого оператора франшизи громадського харчування в Південно-Східній Азії в листопаді 2025 року. Аналіз показує, що це нещодавно розроблений штам програми-вимагача, який не пов'язаний з варіантом Osiris, виявленим у грудні 2016 року, який походив від Locky. Особистість розробників залишається невідомою, і немає підтвердження того, що шкідливе програмне забезпечення пропонується як частина операції «Програма-вимагач як послуга».

Ланцюг атак та початкова компрометація

Найдавніша підтверджена шкідлива активність у мережі жертви включала викрадання конфіденційних даних перед розгортанням програми-вимагача. Зловмисники переносили інформацію за допомогою Rclone до хмарних сховищ, розміщених на Wasabi. Після цього етапу відбулося поетапне впровадження інструментів для встановлення контролю, нестандартного просування та підготовки середовища до шифрування.

Було використано різноманітні комунальні послуги, що забезпечують життя на землі та мають подвійне використання, а також компоненти дистанційного управління, щоб інтегруватися у звичайну адміністративну діяльність та мінімізувати раннє виявлення.

Підозрювані посилання на операції з програмою-вимагачем INC

Кілька ознак вказують на можливий збіг з дійовими особами, які раніше були пов'язані з програмою-вимагачем INC (також відомою як Warble). Примітно, що зловмисники використовували версію Mimikatz з тим самим ім'ям файлу, kaz.exe, яка спостерігалася в попередніх інцидентах, пов'язаних з INC. Крім того, інфраструктура вилучення та торгові методи точно повторюють методи, які раніше приписували цій екосистемі, хоча остаточної атрибуції не встановлено.

Водій бідності та тактика «Використовуйте свої навички»

Центральною особливістю вторгнення було розгортання шкідливого драйвера, відомого як POORTRY, який використовувався в атаці типу «принеси свій власний вразливий драйвер» (BYOVD) для нейтралізації захисту кінцевих точок. На відміну від традиційних операцій BYOVD, які покладаються на легітимні, але недосконалі драйвери, POORTRY — це спеціалізований драйвер, розроблений для підвищення привілеїв та завершення роботи інструментів безпеки.

Середовище було додатково підготовлено за допомогою KillAV, відомої утиліти для завантаження вразливих драйверів для вимкнення захисного програмного забезпечення. Також було ввімкнено протокол віддаленого робочого столу, ймовірно, для полегшення постійного інтерактивного доступу.

Можливості програми-вимагача Osiris

Osiris описують як зрілий та ефективний засіб шифрування, ймовірно, яким керують досвідчені зловмисники. Він реалізує гібридну криптографічну модель та генерує унікальний ключ шифрування для кожного файлу, що значно ускладнює відновлення. Програма-вимагач підтримує розширену конфігурацію, що дозволяє операторам точно налаштовувати виконання відповідно до середовища жертви.

Ключові функціональні характеристики включають:

  • Зупинка служб, завершення процесів та вимкнення резервних копій або механізмів відновлення.
  • Визначення цільових папок і розширень файлів, а також створення персоналізованого повідомлення з вимогою викупу після завершення.

За замовчуванням Osiris налаштовано на агресивне завершення процесів і служб, пов'язаних із програмним забезпеченням для підвищення продуктивності, поштовими серверами, браузерами, текстовими редакторами, Volume Shadow Copy та корпоративними платформами резервного копіювання, такими як Veeam.

Інструменти, що використовуються для підтримки вторгнення

Окрім самої програми-вимагача, зловмисники використовували набір інструментів для розвідки, латерального переміщення та віддаленого керування для підтримки операційного контролю. Інструменти, виявлені під час вторгнення, включали:

  • Netscan та Neexec для виявлення та виконання мережевих команд.
  • MeshAgent та налаштована збірка програми віддаленого робочого столу Rustdesk для постійного віддаленого доступу.
  • Rclone для автоматизованого вилучення даних у хмарне сховище.

Наслідки для розвитку ландшафту вимагання

Хоча шифрування програм-вимагачів продовжує становити значний ризик для організацій, цей інцидент свідчить про ширшу еволюцію в бік багатогранних кампаній вимагання. Зростаючий акцент на крадіжці даних, ухиленні від захисту за допомогою шкідливих драйверів та зростаюча поширеність атак без шифрування або гібридних атак розширюють ландшафт загроз. В результаті програми-вимагачі стають лише одним компонентом у ширшій, складнішій екосистемі вимагання, яка вимагає однаково адаптивних захисних стратегій.

В тренді

Axischainedge.com

Шахрайські веб-сайти, рекламне ПЗ, Викрадачі браузера
Постійна обережність під час перегляду веб-сторінок є надзвичайно важливою. Шахрайські веб-сайти розроблені для використання неуважності та цікавості, часто використовуючи обманливі тактики, такі...

Найбільше переглянуті

Шкідливе програмне забезпечення

Фішинг, Спам
28,458
Шахрайське повідомлення «Apple Pay Suspended» — це різновид фішингової тактики, спрямованої на користувачів Apple Pay. У повідомленні стверджується, що гаманець Apple Pay користувача призупинено, і закликається натиснути посилання, щоб відновити його. Однак, натиснувши посилання, користувач перейде на підроблений веб-сайт, призначений для викрадення його особистої та фінансової інформації. Якщо...

Fuq.com

Програма захисту від шпигунського ПЗ, Шкідливе програмне забезпечення Mac
22,528
Fuq.com — це програма рекламного типу, яка рекламує веб-сайти з порнографічним вмістом. Рекламні кампанії цієї потенційно небажаної програми (PUP) є дуже агресивними. Вони змушують своїх жертв...
Завантаження...