Osiris-Ransomware-Familie

Von Mezo in Ransomware, Erweiterte, anhaltende Bedrohung (APT)

Übersetzen Sie in:

Nach einem Angriff auf einen großen Gastronomie-Franchisebetreiber in Südostasien im November 2025 haben Cybersicherheitsforscher eine bisher unbekannte Ransomware-Familie namens Osiris entdeckt. Analysen deuten darauf hin, dass es sich um eine neu entwickelte Ransomware-Variante handelt, die nicht mit der im Dezember 2016 beobachteten, von Locky abgeleiteten Osiris-Variante verwandt ist. Die Identität der Entwickler ist weiterhin unbekannt, und es gibt keine Bestätigung dafür, dass die Schadsoftware im Rahmen eines Ransomware-as-a-Service-Angebots angeboten wird.

Inhaltsverzeichnis

Angriffskette und erste Kompromittierung

Die ersten bestätigten schädlichen Aktivitäten im Netzwerk des Opfers umfassten die Exfiltration sensibler Daten vor dem Einsatz der Ransomware. Die Angreifer übertrugen die Informationen mithilfe von Rclone in Cloud-Speicher-Buckets, die auf Wasabi gehostet wurden. Im Anschluss daran erfolgte die schrittweise Einführung von Tools, um die Kontrolle zu erlangen, sich lateral im Netzwerk auszubreiten und die Umgebung für die Verschlüsselung vorzubereiten.

Eine Vielzahl von Systemen zur Selbstversorgung und zur gleichzeitigen Nutzung in der Natur sowie Komponenten zur Fernverwaltung wurden eingesetzt, um sich unauffällig in die normale Verwaltungstätigkeit einzufügen und eine frühzeitige Entdeckung zu minimieren.

Verdacht auf Verbindungen zu Ransomware-Operationen von INC

Mehrere Indikatoren deuten auf eine mögliche Überschneidung mit Akteuren hin, die zuvor mit der INC-Ransomware (auch bekannt als Warble) in Verbindung gebracht wurden. Insbesondere verwendeten die Angreifer eine Version von Mimikatz mit demselben Dateinamen, kaz.exe, die bereits bei früheren INC-bezogenen Vorfällen beobachtet wurde. Darüber hinaus ähneln die Infrastruktur zur Datenexfiltration und die angewandten Methoden stark Techniken, die zuvor diesem Ökosystem zugeschrieben wurden, obwohl eine eindeutige Zuordnung noch nicht erfolgt ist.

Der POORTRY-Fahrer und BYOVD-Taktiken

Ein zentrales Merkmal des Angriffs war der Einsatz des Schadtreibers POORTRY, der im Rahmen eines BYOVD-Angriffs (Bring Your Own Vulnerable Driver) verwendet wurde, um die Endpunktsicherheit zu umgehen. Anders als bei herkömmlichen BYOVD-Angriffen, die auf legitimen, aber fehlerhaften Treibern basieren, handelt es sich bei POORTRY um einen speziell entwickelten Treiber, der darauf abzielt, Berechtigungen zu erweitern und Sicherheitstools außer Kraft zu setzen.

Die Umgebung wurde zusätzlich mit KillAV vorbereitet, einem bekannten Tool zum Laden anfälliger Treiber, um Schutzsoftware zu deaktivieren. Das Remote Desktop Protocol wurde ebenfalls aktiviert, vermutlich um einen dauerhaften interaktiven Zugriff zu ermöglichen.

Fähigkeiten der Osiris-Ransomware

Osiris gilt als ausgereifte und effektive Verschlüsselungs-Payload, die wahrscheinlich von erfahrenen Cyberkriminellen eingesetzt wird. Sie verwendet ein hybrides kryptografisches Modell und generiert für jede Datei einen individuellen Verschlüsselungsschlüssel, was die Wiederherstellung erheblich erschwert. Die Ransomware bietet umfangreiche Konfigurationsmöglichkeiten, sodass die Angreifer die Ausführung präzise an die Umgebung des Opfers anpassen können.

Zu den wichtigsten funktionalen Merkmalen gehören:

Dienste stoppen, Prozesse beenden und Sicherungs- oder Wiederherstellungsmechanismen deaktivieren.
Definition der Zielordner und Dateierweiterungen sowie Generierung einer individuellen Lösegeldforderung nach Abschluss des Vorgangs.

Standardmäßig ist Osiris so konfiguriert, dass Prozesse und Dienste im Zusammenhang mit Produktivitätssoftware, E-Mail-Servern, Browsern, Texteditoren, Volume Shadow Copy und Backup-Plattformen für Unternehmen wie Veeam aggressiv beendet werden.

Zur Unterstützung des Eindringens verwendete Werkzeuge

Neben der Ransomware selbst nutzten die Angreifer ein Instrumentarium zur Aufklärung, lateralen Bewegung und Fernverwaltung, um die operative Kontrolle zu behalten. Zu den während des Angriffs beobachteten Tools gehörten:

Netscan und Netexec zur Netzwerkermittlung und -ausführung.
MeshAgent und eine angepasste Version der Rustdesk-Remote-Desktop-Anwendung für dauerhaften Fernzugriff.
Rclone für die automatisierte Datenexfiltration in Cloud-Speicher.

Auswirkungen auf die sich entwickelnde Erpressungslandschaft

Während verschlüsselte Ransomware weiterhin ein erhebliches Risiko für Unternehmen darstellt, verdeutlicht dieser Vorfall eine umfassendere Entwicklung hin zu vielschichtigen Erpressungskampagnen. Der zunehmende Fokus auf Datendiebstahl, die Umgehung von Sicherheitsvorkehrungen durch Schadsoftware und die wachsende Verbreitung von Angriffen ohne Verschlüsselung oder hybriden Angriffen erweitern die Bedrohungslandschaft. Infolgedessen wird Ransomware nur noch zu einer Komponente innerhalb eines umfassenderen und komplexeren Erpressungsökosystems, das ebenso anpassungsfähige Verteidigungsstrategien erfordert.

Der Insolvenzantrag des Zahlungsabwicklers Digital River GmbH von EnigmaSoft hat keine Auswirkungen auf den Anti-Malware-Schutz der SpyHunter-Kunden

Suche

Region ändern

Osiris-Ransomware-Familie

Angriffskette und erste Kompromittierung

Verdacht auf Verbindungen zu Ransomware-Operationen von INC

Der POORTRY-Fahrer und BYOVD-Taktiken

Fähigkeiten der Osiris-Ransomware

Zur Unterstützung des Eindringens verwendete Werkzeuge

Auswirkungen auf die sich entwickelnde Erpressungslandschaft

Kommentar abgeben

Im Trend

Axischainedge.com

MegaETH-Registrierungsbetrug

Web-Skimming-Angriffskampagne

Am häufigsten gesehen

So beheben Sie den Fehler 'Druckertreiber ist nicht...

Discord zeigt beim Teilen des Bildschirms schwarzen...

So beheben Sie 'macOS kann nicht überprüfen, ob...