歐西里斯勒索軟體家族

網路安全研究人員在2025年11月東南亞一家大型餐飲連鎖業者遭受攻擊後，發現了一種先前未被記錄的勒索軟體家族，名為Osiris。分析表明，這是一種新開發的勒索軟體，與2016年12月發現的源自Locky的Osiris變種無關。目前開發者的身分仍然未知，也沒有證據顯示該惡意軟體以「勒索軟體即服務」（RaaS）的形式提供。

攻擊鍊和初始入侵

受害者網路上最早確認的惡意活動涉及勒索軟體部署前敏感資料的竊取。攻擊者使用 Rclone 將資訊傳輸到 Wasabi 託管的雲端儲存桶。隨後，攻擊者分階段引入工具，以建立控制權、橫向移動並為加密環境做好準備。

利用各種自給自足的土地和雙重用途的公用設施，以及遠端管理組件，融入正常的行政活動，最大限度地減少早期發現。

疑似與 INC 勒索軟體行動有關

多項跡象表明，此次攻擊可能與先前涉及 INC 勒索軟體（又稱 Warble）的攻擊者重疊。值得注意的是，攻擊者使用了檔案名稱相同的 Mimikatz 版本 kaz.exe，該檔案名稱曾在先前的 INC 相關事件中出現。此外，其資料竊取基礎設施和攻擊手法與先前歸因於該勒索軟體生態系統的技術極為相似，儘管目前尚未確定其確切來源。

POORTRY 司機和 BYOVD 策略

這次入侵的核心在於部署了一款名為 POORTRY 的惡意驅動程序，該驅動程式被用於自帶漏洞驅動程式 (BYOVD) 式攻擊，以繞過終端防禦。與依賴合法但有缺陷的驅動程式的傳統 BYOVD 作業不同，POORTRY 是一款專門設計的客製化驅動程序，旨在提升權限並終止安全工具的運作。

為了進一步優化環境，我們使用了 KillAV，這是一個已知的用於加載易受攻擊驅動程式以禁用防護軟體的實用程式。此外，我們還啟用了遠端桌面協議，這可能是為了方便持續的互動式存取。

Osiris勒索軟體的功能

Osiris 被認為是一種成熟有效的加密負荷，很可能由經驗豐富的攻擊者操控。它採用混合加密模型，並為每個檔案產生唯一的加密金鑰，從而顯著增加了復原難度。該勒索軟體支援廣泛的配置，允許攻擊者根據受害者的環境進行精細化執行。

主要功能特性包括：

• 停止服務、終止進程、停用備份或復原機制。
• 確定目標資料夾和檔案副檔名，並在完成後產生自訂贖金通知。

預設情況下，Osiris 配置為積極終止與生產力軟體、電子郵件伺服器、瀏覽器、文字編輯器、卷影複製服務以及 Veeam 等企業備份平台相關的進程和服務。

用於支援入侵的工具

除了勒索軟體本身，攻擊者還依靠一套偵察、橫向移動和遠端管理工具來維持運作控制。入侵過程中發現的工具包括：

• Netscan 和 Netexec 用於網路發現和執行。
• MeshAgent 和定製版的 Rustdesk 遠端桌面應用程序，用於持久遠端存取。
• Rclone 用於自動將資料匯出到雲端儲存。

對不斷演變的勒索格局的影響

儘管加密勒索軟體仍然對企業構成重大風險，但這次事件凸顯了勒索活動向多方面融合的趨勢。資料竊取、透過惡意驅動程式規避防禦以及無加密或混合攻擊的日益普遍，都在擴大威脅範圍。因此，勒索軟體正逐漸成為一個更廣泛、更複雜的勒索生態系統中的一個組成部分，而這個生態系統需要同樣具有適應性的防禦策略。