Famille de ransomwares Osiris

Par Mezo en Ransomware, Menace persistante avancée (APT)

Se traduisent par :

Des chercheurs en cybersécurité ont révélé l'existence d'une famille de ransomware inédite, baptisée Osiris, suite à une attaque perpétrée en novembre 2025 contre une importante chaîne de restauration en Asie du Sud-Est. L'analyse indique qu'il s'agit d'une souche de ransomware nouvellement développée, sans lien avec la variante Osiris observée en décembre 2016, dérivée de Locky. L'identité des développeurs demeure inconnue et rien ne confirme que ce logiciel malveillant soit proposé dans le cadre d'une offre de type « ransomware-as-a-service ».

Table des matières

Chaîne d’attaque et compromission initiale

La première activité malveillante confirmée sur le réseau de la victime a consisté en l'exfiltration de données sensibles avant le déploiement du ransomware. Les attaquants ont transféré les informations via Rclone vers des compartiments de stockage cloud hébergés sur Wasabi. Cette phase a été suivie de l'introduction progressive d'outils permettant d'établir le contrôle, de se déplacer latéralement et de préparer l'environnement au chiffrement.

Diverses solutions d'autosuffisance et à double usage ont été mises à profit, ainsi que des composants de gestion à distance, pour se fondre dans l'activité administrative normale et minimiser les risques de détection précoce.

Liens suspects avec les opérations de ransomware d’INC

Plusieurs indices laissent entrevoir un possible chevauchement avec des acteurs précédemment associés au ransomware INC (également connu sous le nom de Warble). Notamment, les attaquants ont utilisé une version de Mimikatz portant le même nom de fichier, kaz.exe, déjà observé lors d'incidents antérieurs liés à INC. De plus, l'infrastructure d'exfiltration et les techniques employées présentent des similitudes frappantes avec celles précédemment attribuées à cet écosystème, bien qu'aucune attribution définitive n'ait été établie.

Le conducteur POORTRY et les tactiques BYOVD

L'une des caractéristiques principales de cette intrusion était le déploiement d'un pilote malveillant nommé POORTRY, utilisé dans une attaque de type BYOVD (Bring Your Own Vulnerable Driver) pour neutraliser les défenses des terminaux. Contrairement aux opérations BYOVD classiques qui s'appuient sur des pilotes légitimes mais défectueux, POORTRY est un pilote sur mesure conçu spécifiquement pour élever les privilèges et désactiver les outils de sécurité.

L'environnement a été préparé à l'aide de KillAV, un utilitaire connu pour charger des pilotes vulnérables afin de désactiver les logiciels de protection. Le protocole RDP (Remote Desktop Protocol) a également été activé, probablement pour faciliter un accès interactif persistant.

Capacités du ransomware Osiris

Osiris est décrit comme un outil de chiffrement sophistiqué et efficace, probablement utilisé par des acteurs malveillants expérimentés. Il met en œuvre un modèle cryptographique hybride et génère une clé de chiffrement unique pour chaque fichier, ce qui complique considérablement les opérations de récupération. Ce ransomware offre une configuration poussée, permettant aux opérateurs d'adapter son exécution à l'environnement de la victime.

Les principales fonctionnalités comprennent :

Arrêt des services, terminaison des processus et désactivation des mécanismes de sauvegarde ou de récupération.
Définir les dossiers et extensions de fichiers ciblés, et générer une note de rançon personnalisée une fois la rançon versée.

Par défaut, Osiris est configuré pour mettre fin de manière agressive aux processus et services associés aux logiciels de productivité, aux serveurs de messagerie, aux navigateurs, aux éditeurs de texte, à la copie de clichés instantanés de volumes et aux plateformes de sauvegarde d'entreprise telles que Veeam.

Outillage utilisé pour supporter l’intrusion

Outre le rançongiciel lui-même, les attaquants ont utilisé un ensemble d'outils de reconnaissance, de déplacement latéral et de gestion à distance pour maintenir le contrôle opérationnel. Parmi les outils observés lors de l'intrusion, on peut citer :

Netscan et Netexec pour la découverte et l'exécution sur le réseau.
MeshAgent et une version personnalisée de l'application de bureau à distance Rustdesk pour un accès distant persistant.
Rclone pour l'exfiltration automatisée de données vers le stockage cloud.

Implications pour l’évolution du paysage de l’extorsion

Bien que les rançongiciels de chiffrement représentent toujours un risque important pour les organisations, cet incident met en lumière une évolution plus large vers des campagnes d'extorsion aux multiples facettes. L'importance croissante accordée au vol de données, au contournement des défenses par des pilotes malveillants et à la prévalence grandissante des attaques sans chiffrement ou hybrides élargissent le paysage des menaces. De ce fait, les rançongiciels ne sont plus qu'un élément d'un écosystème d'extorsion plus vaste et plus complexe, exigeant des stratégies de défense tout aussi adaptatives.

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région

Famille de ransomwares Osiris

Chaîne d’attaque et compromission initiale

Liens suspects avec les opérations de ransomware d’INC

Le conducteur POORTRY et les tactiques BYOVD

Capacités du ransomware Osiris

Outillage utilisé pour supporter l’intrusion

Implications pour l’évolution du paysage de l’extorsion

Soumettre un Commentaire

Tendance

Axischainedge.com

Scarabey Ransomware

CrY-TrOwX Ransomware

Le plus regardé

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran

Comment réparer « macOS ne peut pas vérifier que...