奥西里斯勒索软件家族

网络安全研究人员在2025年11月东南亚一家大型餐饮连锁运营商遭受攻击后，发现了一种此前未被记录的勒索软件家族，名为Osiris。分析表明，这是一种新开发的勒索软件，与2016年12月发现的源自Locky的Osiris变种无关。目前开发者的身份仍然未知，也没有证据表明该恶意软件以“勒索软件即服务”（RaaS）的形式提供。

攻击链和初始入侵

受害者网络上最早确认的恶意活动涉及勒索软件部署前敏感数据的窃取。攻击者使用 Rclone 将信息传输到 Wasabi 托管的云存储桶。随后，攻击者分阶段引入工具，以建立控制权、横向移动并为加密环境做好准备。

利用各种自给自足的土地和双重用途的公用设施，以及远程管理组件，融入正常的行政活动，最大限度地减少早期发现。

疑似与 INC 勒索软件行动有关

多项迹象表明，此次攻击可能与之前涉及 INC 勒索软件（又名 Warble）的攻击者存在重叠。值得注意的是，攻击者使用了文件名相同的 Mimikatz 版本 kaz.exe，该文件名曾在之前的 INC 相关事件中出现过。此外，其数据窃取基础设施和攻击手法与之前归因于该勒索软件生态系统的技术极为相似，尽管目前尚未确定其确切来源。

POORTRY 司机和 BYOVD 策略

此次入侵的核心在于部署了一款名为 POORTRY 的恶意驱动程序，该驱动程序被用于自带漏洞驱动程序 (BYOVD) 式攻击，以绕过终端防御。与依赖合法但存在缺陷的驱动程序的传统 BYOVD 操作不同，POORTRY 是一款专门设计的定制驱动程序，旨在提升权限并终止安全工具的运行。

为了进一步优化环境，我们使用了 KillAV，这是一款已知的用于加载易受攻击驱动程序以禁用防护软件的实用程序。此外，我们还启用了远程桌面协议，这可能是为了方便持续的交互式访问。

Osiris勒索软件的功能

Osiris 被认为是一种成熟有效的加密载荷，很可能由经验丰富的攻击者操控。它采用混合加密模型，并为每个文件生成唯一的加密密钥，从而显著增加了恢复难度。该勒索软件支持广泛的配置，允许攻击者根据受害者的环境进行精细化执行。

主要功能特性包括：

• 停止服务、终止进程、禁用备份或恢复机制。
• 确定目标文件夹和文件扩展名，并在完成后生成自定义赎金通知。

默认情况下，Osiris 配置为积极终止与生产力软件、电子邮件服务器、浏览器、文本编辑器、卷影复制服务以及 Veeam 等企业备份平台相关的进程和服务。

用于支持入侵的工具

除了勒索软件本身，攻击者还依靠一套侦察、横向移动和远程管理工具来维持运行控制。入侵过程中发现的工具包括：

• Netscan 和 Netexec 用于网络发现和执行。
• MeshAgent 和定制版的 Rustdesk 远程桌面应用程序，用于持久远程访问。
• Rclone 用于自动将数据导出到云存储。

对不断演变的勒索格局的影响

尽管加密勒索软件仍然对企业构成重大风险，但此次事件凸显了勒索活动向多方面融合的趋势。数据窃取、通过恶意驱动程序规避防御以及无加密或混合攻击的日益普遍，都在扩大威胁范围。因此，勒索软件正逐渐成为一个更广泛、更复杂的勒索生态系统中的一个组成部分，而这个生态系统需要同样具有适应性的防御策略。