Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Ransomware Familia de ransomware Osiris

Familia de ransomware Osiris

Por Mezo en Ransomware, Amenaza persistente avanzada (APT)
Traducir a:

Investigadores de ciberseguridad han revelado una familia de ransomware no documentada previamente, denominada Osiris, tras un ataque contra un importante operador de franquicias de servicios de alimentación en el sudeste asiático en noviembre de 2025. El análisis indica que se trata de una cepa de ransomware de reciente desarrollo y no está relacionada con la variante de Osiris observada en diciembre de 2016, derivada de Locky. Se desconoce la identidad de los desarrolladores y no hay confirmación de que el malware se ofrezca como parte de una operación de ransomware como servicio.

Cadena de ataque y compromiso inicial

La primera actividad maliciosa confirmada en la red víctima consistió en la exfiltración de datos confidenciales antes de la implementación del ransomware. Los atacantes transfirieron información mediante Rclone a depósitos de almacenamiento en la nube alojados en Wasabi. A esta fase le siguió la introducción gradual de herramientas para establecer el control, operar lateralmente y preparar el entorno para el cifrado.

Se aprovecharon una variedad de servicios públicos de doble uso y de subsistencia, junto con componentes de gestión remota, para integrarlos a la actividad administrativa normal y minimizar la detección temprana.

Presuntos vínculos con operaciones de ransomware INC

Varios indicadores sugieren una posible superposición con actores previamente asociados con el ransomware INC (también conocido como Warble). Cabe destacar que los atacantes utilizaron una versión de Mimikatz con el mismo nombre de archivo, kaz.exe, que se ha observado en incidentes anteriores relacionados con INC. Además, la infraestructura y las técnicas de exfiltración son muy similares a las atribuidas previamente a ese ecosistema, aunque no se ha establecido una atribución definitiva.

El conductor POORTRY y las tácticas BYOVD

Una característica central de la intrusión fue la implementación de un controlador malicioso conocido como POORTRY, utilizado en un ataque de tipo "traiga su propio controlador vulnerable" (BYOVD) para neutralizar las defensas de los endpoints. A diferencia de las operaciones tradicionales de BYOVD, que se basan en controladores legítimos pero defectuosos, POORTRY es un controlador a medida, diseñado específicamente para elevar privilegios y anular las herramientas de seguridad.

El entorno se preparó aún más con KillAV, una utilidad conocida para cargar controladores vulnerables y desactivar el software de protección. También se habilitó el Protocolo de Escritorio Remoto (RPP), probablemente para facilitar el acceso interactivo persistente.

Capacidades del ransomware Osiris

Osiris se ha descrito como una carga útil de cifrado madura y eficaz, probablemente operada por actores de amenazas experimentados. Implementa un modelo criptográfico híbrido y genera una clave de cifrado única para cada archivo, lo que dificulta considerablemente la recuperación. El ransomware admite una configuración exhaustiva, lo que permite a los operadores ajustar la ejecución al entorno de la víctima.

Las características funcionales clave incluyen:

  • Detener servicios, finalizar procesos y deshabilitar copias de seguridad o mecanismos de recuperación.
  • Definir carpetas y extensiones de archivos específicas y generar una nota de rescate personalizada una vez finalizado.

De forma predeterminada, Osiris está configurado para finalizar agresivamente procesos y servicios asociados con software de productividad, servidores de correo electrónico, navegadores, editores de texto, Volume Shadow Copy y plataformas de respaldo empresarial como Veeam.

Herramientas utilizadas para apoyar la intrusión

Más allá del propio ransomware, los atacantes se basaron en un conjunto de herramientas de reconocimiento, movimiento lateral y administración remota para mantener el control operativo. Las herramientas observadas durante la intrusión incluyeron:

  • Netscan y Netexec para descubrimiento y ejecución de redes.
  • MeshAgent y una compilación personalizada de la aplicación de escritorio remoto Rustdesk para acceso remoto persistente.
  • Rclone para la exfiltración automatizada de datos al almacenamiento en la nube.

Implicaciones para el cambiante panorama de la extorsión

Si bien el ransomware de cifrado sigue representando un riesgo significativo para las organizaciones, este incidente pone de manifiesto una evolución más amplia hacia campañas de extorsión multifacéticas. El creciente énfasis en el robo de datos, la evasión de defensas mediante controladores maliciosos y la creciente prevalencia de ataques sin cifrado o híbridos están expandiendo el panorama de amenazas. Como resultado, el ransomware se está convirtiendo en un componente más de un ecosistema de extorsión más amplio y complejo que exige estrategias de defensa igualmente adaptables.

Tendencias

Mas Visto

Cargando...