新型Osiris勒索軟件利用POORTRY驅(qū)動程序發(fā)起B(yǎng)YOVD攻擊

網(wǎng)絡(luò)安全研究人員披露了一種名為Osiris的新型勒索軟件家族的詳細(xì)信息，該勒索軟件于2025年11月攻擊了東南亞一家大型餐飲服務(wù)特許經(jīng)營運營商。

賽門鐵克和Carbon Black威脅獵手團(tuán)隊表示，此次攻擊利用了一個名為POORTRY的惡意驅(qū)動程序，作為"自帶易受攻擊驅(qū)動程序"（BYOVD）技術(shù)的一部分來破解安全軟件。

值得注意的是，Osiris被評估為全新的勒索軟件變種，與2016年12月作為Locky勒索軟件迭代版本出現(xiàn)的同名變種沒有相似之處。目前尚不清楚該鎖定軟件的開發(fā)者身份，或者它是否作為勒索軟件即服務(wù)（RaaS）進(jìn)行推廣。

然而，博通旗下的網(wǎng)絡(luò)安全部門表示，他們發(fā)現(xiàn)了一些線索，表明部署該勒索軟件的威脅行為者可能此前與INC勒索軟件（又名Warble）有關(guān)聯(lián)。

博通在與The Hacker News分享的報告中表示："這次攻擊中使用了大量現(xiàn)有工具和雙用途工具，以及惡意的POORTRY驅(qū)動程序，該驅(qū)動程序很可能作為BYOVD攻擊的一部分用于禁用安全軟件。"

"攻擊者將數(shù)據(jù)泄露到Wasabi存儲桶，以及使用之前部署INC勒索軟件的攻擊者所使用的相同文件名（kaz.exe）的Mimikatz版本，這些都指向了此次攻擊與涉及INC的某些攻擊之間的潛在聯(lián)系。"

Osiris被描述為"有效的加密載荷"，很可能由經(jīng)驗豐富的攻擊者使用，它采用混合加密方案并為每個文件使用唯一的加密密鑰。它還具有靈活性，可以停止服務(wù)、指定需要加密的文件夾和擴(kuò)展名、終止進(jìn)程并投放勒索信。

默認(rèn)情況下，它被設(shè)計為終止與Microsoft Office、Exchange、Mozilla Firefox、WoRDPad、記事本、卷影復(fù)制和Veeam等相關(guān)的大量進(jìn)程和服務(wù)。

目標(biāo)網(wǎng)絡(luò)上惡意活動的最初跡象涉及在勒索軟件部署之前使用Rclone將敏感數(shù)據(jù)泄露到Wasabi云存儲桶。攻擊中還使用了許多雙用途工具，如Netscan、Netexec和MeshAgent，以及定制版本的Rustdesk遠(yuǎn)程桌面軟件。

POORTRY與傳統(tǒng)BYOVD攻擊略有不同，它使用專門設(shè)計用于提升權(quán)限和終止安全工具的定制驅(qū)動程序，而不是將合法但易受攻擊的驅(qū)動程序部署到目標(biāo)網(wǎng)絡(luò)。

賽門鐵克和Carbon Black威脅獵手團(tuán)隊指出："KillAV是一種用于部署易受攻擊驅(qū)動程序以終止安全進(jìn)程的工具，也被部署在目標(biāo)網(wǎng)絡(luò)上。網(wǎng)絡(luò)上還啟用了RDP，可能是為了向攻擊者提供遠(yuǎn)程訪問。"

這一發(fā)展表明勒索軟件仍然是企業(yè)面臨的重大威脅，隨著一些組織關(guān)閉大門，其他組織迅速從灰燼中崛起或進(jìn)入取代其位置，威脅格局不斷變化。根據(jù)賽門鐵克和Carbon Black對數(shù)據(jù)泄露網(wǎng)站的分析，勒索軟件行為者在2025年聲稱進(jìn)行了4737次攻擊，高于2024年的4701次，增長了0.8%。

過去一年最活躍的參與者包括Akira（又名Darter或Howling Scorpius）、Qilin（又名Stinkbug或Water Galura）、Play（又名Balloonfly）、INC、SafePay、RansomHub（又名Greenbottle）、DragonForce（又名Hackledorb）、Sinobi、Rhysida和CACTUS。

使用Akira勒索軟件的威脅行為者利用易受攻擊的Throttlestop驅(qū)動程序，以及Windows CardSpace用戶界面代理和Microsoft Media Foundation保護(hù)管道，在2025年中后期觀察到的攻擊中側(cè)載Bumblebee加載器。

Akira勒索軟件活動還利用SonicWall SSL VPN在并購期間入侵中小型企業(yè)環(huán)境，并最終獲得對更大收購企業(yè)的訪問權(quán)限。另一次Akira攻擊被發(fā)現(xiàn)利用ClickFix風(fēng)格的驗證碼驗證誘餌來投放名為SectopRAT的.NET遠(yuǎn)程訪問木馬，該木馬作為遠(yuǎn)程控制和勒索軟件傳遞的通道。

LockBit（又名Syrphid）于2025年10月與DragonForce和Qilin合作，盡管執(zhí)法部門在2024年初采取行動關(guān)閉其運營，但仍繼續(xù)維護(hù)其基礎(chǔ)設(shè)施。它還發(fā)布了針對多個操作系統(tǒng)和虛擬化平臺的LockBit 5.0變種。LockBit 5.0的重大更新是引入了兩階段勒索軟件部署模型，將加載器與主要載荷分離，同時最大化規(guī)避、模塊化和破壞性影響。

一個名為Sicarii的新RaaS操作自2025年底首次出現(xiàn)以來僅聲稱了一個受害者。雖然該組織明確標(biāo)識自己為以色列/猶太人，但分析發(fā)現(xiàn)地下在線活動主要用俄語進(jìn)行，威脅行為者分享的希伯來語內(nèi)容包含語法和語義錯誤。這引發(fā)了虛假標(biāo)記操作的可能性。

被稱為Storm-2603（又名CL-CRI-1040或Gold Salem）的威脅行為者被觀察到利用合法的Velociraptor數(shù)字取證和事件響應(yīng)工具作為導(dǎo)致部署Warlock、LockBit和Babuk勒索軟件的前驅(qū)活動的一部分。攻擊還利用兩個驅(qū)動程序和"vmtools.exe"使用BYOVD攻擊禁用安全解決方案。

印度、巴西和德國的實體成為Makop勒索軟件攻擊的目標(biāo)，該攻擊利用暴露和不安全的RDP系統(tǒng)來部署網(wǎng)絡(luò)掃描、權(quán)限升級、禁用安全軟件、憑據(jù)轉(zhuǎn)儲和勒索軟件部署工具。除了使用驅(qū)動程序進(jìn)行BYOVD攻擊外，這些攻擊還部署GuLoader來傳遞勒索軟件載荷。這是Makop通過加載器分發(fā)的首個記錄案例。

勒索軟件攻擊還使用已被入侵的RDP憑據(jù)獲得初始訪問權(quán)限，進(jìn)行偵察、權(quán)限升級、通過RDP橫向移動，然后在入侵第六天將數(shù)據(jù)泄露到temp.sh，并在三天后部署Lynx勒索軟件。

與Obscura勒索軟件相關(guān)的加密過程中發(fā)現(xiàn)的安全漏洞使大文件無法恢復(fù)。Coveware表示："當(dāng)它加密大文件時，無法將加密的臨時密鑰寫入文件的頁腳。對于超過1GB的文件，根本不會創(chuàng)建該頁腳，這意味著解密所需的密鑰丟失了。這些文件永久無法恢復(fù)。"

一個名為01flip的新勒索軟件家族針對亞太地區(qū)有限的受害者。該勒索軟件用Rust編寫，可以針對Windows和Linux系統(tǒng)。攻擊鏈涉及利用已知的安全漏洞來獲得對目標(biāo)網(wǎng)絡(luò)的立足點。它被歸因于一個被稱為CL-CRI-1036的經(jīng)濟(jì)動機威脅行為者。

為了防范針對性攻擊，建議組織監(jiān)控雙用途工具的使用，限制對RDP服務(wù)的訪問，強制執(zhí)行多因素身份驗證，在適用的情況下使用應(yīng)用程序白名單，并實施備份副本的異地存儲。

賽門鐵克和Carbon Black表示："雖然涉及加密勒索軟件的攻擊仍然像以往一樣普遍并且仍然構(gòu)成威脅，但新型非加密攻擊的出現(xiàn)增加了另一種風(fēng)險程度，創(chuàng)建了一個更廣泛的勒索生態(tài)系統(tǒng)，勒索軟件可能只是其中的一個組成部分。"

Q&A

Q1：Osiris勒索軟件有什么特別之處？

A：Osiris是一種全新的勒索軟件變種，采用混合加密方案并為每個文件使用唯一加密密鑰。它具有高度靈活性，可以停止服務(wù)、指定加密文件夾和擴(kuò)展名、終止進(jìn)程并投放勒索信。默認(rèn)情況下會終止Microsoft Office、Exchange等大量進(jìn)程和服務(wù)。

Q2：BYOVD攻擊是什么？POORTRY驅(qū)動程序如何工作？

A：BYOVD是"自帶易受攻擊驅(qū)動程序"攻擊技術(shù)。POORTRY與傳統(tǒng)BYOVD攻擊不同，它使用專門設(shè)計用于提升權(quán)限和終止安全工具的定制驅(qū)動程序，而不是部署合法但易受攻擊的驅(qū)動程序到目標(biāo)網(wǎng)絡(luò)來破解安全軟件。

Q3：如何防范Osiris等勒索軟件攻擊？

A：建議組織監(jiān)控雙用途工具使用、限制RDP服務(wù)訪問、強制執(zhí)行多因素身份驗證、使用應(yīng)用程序白名單，并實施備份副本的異地存儲。還要注意新型非加密攻擊的出現(xiàn)，這些攻擊創(chuàng)建了更廣泛的勒索生態(tài)系統(tǒng)。