Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm tống tiền Họ phần mềm tống tiền Osiris

Họ phần mềm tống tiền Osiris

Đến năm Mezo năm Phần mềm tống tiền, Mối đe dọa dai dẳng nâng cao (APT)
Dịch sang:

Các nhà nghiên cứu an ninh mạng đã tiết lộ một họ mã độc tống tiền chưa từng được ghi nhận trước đây có tên là Osiris, sau một cuộc tấn công nhằm vào một nhà điều hành chuỗi dịch vụ ăn uống lớn ở Đông Nam Á vào tháng 11 năm 2025. Phân tích cho thấy đây là một chủng mã độc tống tiền mới được phát triển và không liên quan đến biến thể Osiris được quan sát vào tháng 12 năm 2016, vốn được phát triển từ Locky. Danh tính của những người phát triển vẫn chưa được biết, và chưa có xác nhận nào cho thấy phần mềm độc hại này được cung cấp như một phần của hoạt động Mã độc tống tiền dưới dạng dịch vụ (Ransomware-as-a-Service).

Chuỗi tấn công và sự xâm nhập ban đầu

Hoạt động độc hại được xác nhận sớm nhất trên mạng của nạn nhân liên quan đến việc đánh cắp dữ liệu nhạy cảm trước khi triển khai phần mềm tống tiền. Kẻ tấn công đã chuyển thông tin bằng Rclone đến các kho lưu trữ đám mây được đặt trên Wasabi. Giai đoạn này được tiếp nối bằng việc từng bước đưa các công cụ vào để thiết lập quyền kiểm soát, di chuyển ngang và chuẩn bị môi trường cho việc mã hóa.

Nhiều tiện ích tự cung tự cấp và đa dụng đã được tận dụng, cùng với các thành phần quản lý từ xa, để hòa nhập vào hoạt động hành chính thông thường và giảm thiểu việc phát hiện sớm.

Nghi ngờ có liên hệ với các hoạt động mã độc tống tiền của INC.

Một số dấu hiệu cho thấy khả năng trùng lặp với các nhóm tin tặc từng được cho là có liên quan đến mã độc tống tiền INC (còn được gọi là Warble). Đáng chú ý, những kẻ tấn công đã sử dụng một phiên bản Mimikatz có cùng tên tệp tin, kaz.exe, điều này đã được ghi nhận trong các vụ việc liên quan đến INC trước đó. Ngoài ra, cơ sở hạ tầng và kỹ thuật đánh cắp dữ liệu cũng tương tự như các kỹ thuật từng được cho là thuộc hệ sinh thái đó, mặc dù chưa có bằng chứng xác định chắc chắn.

Chiến thuật Tài xế NGHÈO và BYOVD

Một đặc điểm trọng tâm của cuộc xâm nhập là việc triển khai một trình điều khiển độc hại có tên POORTRY, được sử dụng trong một cuộc tấn công kiểu "tự mang trình điều khiển dễ bị tổn thương" (BYOVD) để vô hiệu hóa các biện pháp phòng thủ của thiết bị đầu cuối. Không giống như các hoạt động BYOVD truyền thống dựa trên các trình điều khiển hợp pháp nhưng có lỗi, POORTRY là một trình điều khiển được thiết kế riêng nhằm mục đích nâng cao đặc quyền và vô hiệu hóa các công cụ bảo mật.

Môi trường này được chuẩn bị kỹ lưỡng hơn bằng cách sử dụng KillAV, một tiện ích nổi tiếng dùng để tải các trình điều khiển dễ bị tổn thương nhằm vô hiệu hóa phần mềm bảo vệ. Giao thức máy tính từ xa (Remote Desktop Protocol) cũng được kích hoạt, có thể để tạo điều kiện cho việc truy cập tương tác liên tục.

Các khả năng của phần mềm tống tiền Osiris

Osiris được mô tả là một phần mềm mã hóa dữ liệu hoàn thiện và hiệu quả, có khả năng được vận hành bởi các tác nhân đe dọa giàu kinh nghiệm. Nó triển khai mô hình mã hóa lai và tạo ra một khóa mã hóa duy nhất cho mỗi tệp, làm phức tạp đáng kể các nỗ lực khôi phục. Phần mềm tống tiền này hỗ trợ cấu hình mở rộng, cho phép người điều hành tinh chỉnh quá trình thực thi cho phù hợp với môi trường của nạn nhân.

Các tính năng chức năng chính bao gồm:

  • Dừng các dịch vụ, chấm dứt các tiến trình và vô hiệu hóa các cơ chế sao lưu hoặc phục hồi.
  • Xác định các thư mục và phần mở rộng tệp mục tiêu, và tạo ra một thông báo đòi tiền chuộc tùy chỉnh sau khi hoàn tất.

Theo mặc định, Osiris được cấu hình để chủ động chấm dứt các tiến trình và dịch vụ liên quan đến phần mềm năng suất, máy chủ email, trình duyệt, trình soạn thảo văn bản, Volume Shadow Copy và các nền tảng sao lưu doanh nghiệp như Veeam.

Các công cụ được sử dụng để hỗ trợ cuộc xâm nhập

Ngoài phần mềm tống tiền, nhóm tấn công còn dựa vào bộ công cụ trinh sát, di chuyển ngang và quản lý từ xa để duy trì quyền kiểm soát hoạt động. Các công cụ được quan sát thấy trong quá trình xâm nhập bao gồm:

  • Netscan và Netexec được sử dụng để phát hiện và thực thi các tác vụ mạng.
  • MeshAgent và một phiên bản tùy chỉnh của ứng dụng máy tính từ xa Rustdesk để truy cập từ xa liên tục.
  • Rclone là công cụ tự động sao chép dữ liệu lên kho lưu trữ đám mây.

Những tác động đối với bối cảnh tống tiền đang thay đổi.

Mặc dù mã độc tống tiền mã hóa dữ liệu vẫn tiếp tục gây ra rủi ro đáng kể cho các tổ chức, sự cố này cho thấy một xu hướng phát triển rộng hơn hướng tới các chiến dịch tống tiền đa diện. Việc ngày càng chú trọng vào đánh cắp dữ liệu, né tránh phòng thủ thông qua các trình điều khiển độc hại và sự phổ biến ngày càng tăng của các cuộc tấn công không mã hóa hoặc tấn công kết hợp đang mở rộng phạm vi mối đe dọa. Kết quả là, mã độc tống tiền đang trở thành chỉ một thành phần trong một hệ sinh thái tống tiền rộng lớn và phức tạp hơn, đòi hỏi các chiến lược phòng thủ thích ứng tương xứng.

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
28,458
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...