Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Се појави новиот Osiris ransomware како нов сој што користи POORTRY драјвер во BYOVD напад

Објавено: 23.01.2026

Истражувачи за сајбер-безбедност објавија детали за ново семејство ransomware наречено Osiris, кое таргетирало голем оператор-франшизер во секторот за прехранбени услуги во Југоисточна Азија во ноември 2025 година.

Нападот искористил злонамерен драјвер наречен POORTRY како дел од позната техника наречена bring your own vulnerable driver (BYOVD) за онеспособување на безбедносниот софтвер, соопштија тимовите Symantec и Carbon Black Threat Hunter.

Вреди да се напомене дека Osiris се проценува како сосема нов ransomware сој, без сличности со друга варијанта со истото име што се појави во декември 2016 година како итерација на ransomware-от Locky. Во моментов не е познато кои се развивачите на овој „locker“, ниту дали се нуди како ransomware-as-a-service (RaaS).

Сепак, сајбер-безбедносната дивизија во сопственост на Broadcom соопшти дека идентификувала индиции кои укажуваат дека заканувачките актери што го распоредиле ransomware-от можеби претходно биле поврзани со INC ransomware (познат и како Warble).

„Во овој напад беше користен широк спектар на living off the land и алатки со двојна намена, како и злонамерен POORTRY драјвер, кој најверојатно бил употребен како дел од BYOVD напад за оневозможување на безбедносниот софтвер,“ соопшти компанијата во извештај споделен со The Hacker News.

„Ексфилтрацијата на податоци од страна на напаѓачите во Wasabi bucket-и, како и користењето на верзија на Mimikatz која претходно била користена, со истото име на датотека (kaz.exe), од напаѓачи што распоредувале INC ransomware, укажуваат на можни врски помеѓу овој напад и некои напади поврзани со INC.“

Опишан како „ефикасен енкрипциски payload“ кој најверојатно го користат искусни напаѓачи, Osiris применува хибридна енкрипциска шема и уникатен енкрипциски клуч за секоја датотека. Тој е и флексибилен, бидејќи може да запира сервиси, да прецизира кои папки и екстензии треба да се енкриптираат, да прекинува процеси и да остава ransom порака. Стандардно, дизајниран е да убие долга листа на процеси и сервиси поврзани со Microsoft Office, Exchange, Mozilla Firefox, WordPad, Notepad, Volume Shadow Copy, Veeam и други.

Првите знаци на злонамерна активност на мрежата на целта вклучувале ексфилтрација на чувствителни податоци со користење на Rclone кон Wasabi cloud storage bucket пред распоредувањето на ransomware-от. Во нападот биле користени и повеќе алатки со двојна намена како Netscan, Netexec и MeshAgent, како и прилагодена верзија на Rustdesk софтверот за далечинска работна површина.

POORTRY се разликува од традиционалните BYOVD напади по тоа што користи специјално изработен драјвер, експлицитно дизајниран за зголемување на привилегии и прекинување на безбедносни алатки, наместо распоредување легитимен, но ранлив драјвер во мрежата на целта.

„KillAV, алатка што се користи за распоредување ранливи драјвери за прекинување на безбедносни процеси, исто така беше распоредена во мрежата на целта,“ забележаа тимовите на Symantec и Carbon Black Threat Hunter. „RDP исто така беше овозможен во мрежата, најверојатно за да им обезбеди на напаѓачите далечински пристап.“

Овој развој доаѓа во време кога ransomware-от останува значајна закана за претпријатијата, при што пејзажот постојано се менува – некои групи се затвораат, додека други брзо се појавуваат од нивните „пепел“ или ги заземаат нивните места. Според анализа на сајтови за протекување податоци од страна на Symantec и Carbon Black, ransomware актерите пријавиле вкупно 4.737 напади во текот на 2025 година, наспроти 4.701 во 2024, што претставува зголемување од 0,8%.

Најактивни актери во изминатата година биле Akira (познат и како Darter или Howling Scorpius), Qilin (Stinkbug или Water Galura), Play (Balloonfly), INC, SafePay, RansomHub (Greenbottle), DragonForce (Hackledorb), Sinobi, Rhysida и CACTUS. Некои од другите значајни случувања во оваа област се наведени подолу –

  • Заканувачки актери што го користат Akira ransomware искористиле ранлив Throttlestop драјвер, заедно со Windows CardSpace User Interface Agent и Microsoft Media Foundation Protected Pipeline, за sideloading на Bumblebee loader-от во напади забележани од средината до крајот на 2025 година.
  • Кампањите со Akira ransomware исто така експлоатирале SonicWall SSL VPN за пробивање на мали и средни бизниси за време на спојувања и аквизиции, со што на крај добивале пристап до поголемите, купувачки претпријатија. Друг Akira напад користел ClickFix-style CAPTCHA мамки за да испорача .NET тројанец за далечински пристап наречен SectopRAT, кој служи како канал за далечинска контрола и испорака на ransomware.
  • LockBit (познат и како Syrphid), кој соработуваше со DragonForce и Qilin во октомври 2025 година, продолжи да ја одржува својата инфраструктура и покрај акцијата на органите на прогонот за гасење на неговите операции на почетокот на 2024 година. Исто така објави варијанти на LockBit 5.0 насочени кон повеќе оперативни системи и платформи за виртуелизација. Значајна надградба на LockBit 5.0 е воведувањето на двофазен модел за распоредување на ransomware, кој го одвојува loader-от од главниот payload, истовремено максимизирајќи ја евазијата, модуларноста и деструктивниот ефект.
  • Нова RaaS операција наречена Sicarii има пријавено само една жртва од моментот кога се појави кон крајот на 2025 година. Иако групата експлицитно се идентификува како израелска/еврејска, анализата откри дека подземната онлајн активност првенствено се одвива на руски јазик и дека хебрејската содржина споделена од заканувачкиот актер содржи граматички и семантички грешки. Ова ја отвори можноста за false flag операција. Главниот Sicarii оператор ја користи Telegram сметката “@Skibcum”.
  • Заканувачкиот актер познат како Storm-2603 (познат и како CL-CRI-1040 или Gold Salem) е забележан како ја користи легитимната Velociraptor дигитална форензичка и DFIR алатка како дел од активности што претходат на распоредување на Warlock, LockBit и Babuk ransomware. Нападите исто така користеле два драјвери („rsndispot.sys“ и „kl.sys“) заедно со „vmtools.exe“ за оневозможување на безбедносните решенија преку BYOVD напад.
  • Ентитети во Индија, Бразил и Германија биле таргетирани од Makop ransomware напади кои експлоатирале изложени и небезбедни RDP системи за поставување алатки за мрежно скенирање, ескалација на привилегии, оневозможување на безбедносен софтвер, кражба на ингеренции и распоредување на ransomware. Нападите, покрај користењето на „hlpdrv.sys“ и „ThrottleStop.sys“ драјвери за BYOVD напади, исто така распоредувале GuLoader за испорака на ransomware payload-от. Ова е првиот документиран случај Makop да се дистрибуира преку loader.
  • Ransomware напади исто така добивале иницијален пристап со користење веќе компромитирани RDP ингеренции за извршување извидување, ескалација на привилегии и латерално движење преку RDP, по што следувала ексфилтрација на податоци кон temp[.]sh на шестиот ден од упадот и распоредување на Lynx ransomware три дена подоцна.
  • Безбедносен пропуст во процесот на енкрипција поврзан со Obscura ransomware е откриен како причина поради која големите датотеки стануваат неповратно изгубени. „Кога енкриптира големи датотеки, не успева да го запише енкриптираниот привремен клуч во footer-от на датотеката,“ соопшти Coveware. „За датотеки поголеми од 1GB, тој footer воопшто не се креира — што значи дека клучот потребен за декрипција е изгубен. Овие датотеки се трајно неповратни.“
  • Ново ransomware семејство наречено 01flip таргетирало ограничен број жртви во Азија-Пацифик регионот. Напишан во Rust, ransomware-от може да таргетира и Windows и Linux системи. Нападните синџири вклучуваат експлоатација на познати безбедносни ранливости (на пр., CVE-2019-11580) за да се добие упориште во мрежите на целта. Му е припишан на финансиски мотивиран заканувачки актер познат како CL-CRI-1036.

За заштита од таргетирани напади, на организациите им се препорачува да го следат користењето на алатки со двојна намена, да го ограничат пристапот до RDP услуги, да наметнат повеќефакторска автентикација (2FA), да користат allowlisting на апликации каде што е применливо и да имплементираат off-site складирање на резервни копии.

„Иако нападите со енкриптирачки ransomware остануваат подеднакво распространети и сè уште претставуваат закана, појавата на нови типови напади без енкрипција додава уште еден степен на ризик, создавајќи поширок екосистем на уцени во кој ransomware-от може да стане само една компонента,“ изјавија Symantec и Carbon Black.

Извори:

  • The Hacker News – New Osiris Ransomware Emerges as New Strain Using POORTRY Driver in BYOVD Attack The Hacker News