Investigadores de ciberseguridad han revelado detalles de una nueva familia de ransomware llamada Osiris que tuvo como objetivo un importante operador franquiciado de servicios de alimentos en el sudeste asiático en noviembre de 2025.
El ataque aprovechó un controlador malicioso llamado POBREZA como parte de una técnica conocida denominada «traiga su propio controlador vulnerable» (BYOVD) para desarmar el software de seguridad, dijo Symantec y Carbon Black Threat Hunter Team.
Vale la pena señalar que se considera que Osiris es una cepa de ransomware completamente nueva, que no comparte similitudes con otra variante del mismo nombre que surgió en diciembre de 2016 como una iteración del ransomware Locky. Actualmente no se sabe quiénes son los desarrolladores del casillero o si se anuncia como un ransomware como servicio (RaaS).
Sin embargo, la división de ciberseguridad propiedad de Broadcom dijo que identificó pistas que sugieren que los actores de amenazas que implementaron el ransomware pueden haber estado asociados previamente con ransomware INC (también conocido como gorjeo).
«En este ataque se utilizó una amplia gama de herramientas de doble uso y que viven de la tierra, al igual que un controlador POORTRY malicioso, que probablemente se utilizó como parte de un ataque de «traiga su propio controlador vulnerable» (BYOVD) para desactivar el software de seguridad», dijo la compañía. dicho en un informe compartido con The Hacker News.
«La exfiltración de datos por parte de los atacantes a depósitos de Wasabi y el uso de una versión de Mimikatz que fue utilizada anteriormente, con el mismo nombre de archivo (kaz.exe), por los atacantes que implementaron el ransomware INC, apuntan a vínculos potenciales entre este ataque y algunos ataques que involucran a INC».
Osiris, descrito como una «carga útil de cifrado eficaz» que probablemente utilicen atacantes experimentados, utiliza un esquema de cifrado híbrido y una clave de cifrado única para cada archivo. También es flexible porque puede detener servicios, especificar qué carpetas y extensiones deben cifrarse, finalizar procesos y enviar una nota de rescate.
De forma predeterminada, está diseñado para eliminar una larga lista de procesos y servicios relacionados con Microsoft Office, Exchange, Mozilla Firefox, WordPad, Notepad, Volume Shadow Copy y Veeam, entre otros.
Los primeros signos de actividad maliciosa en la red del objetivo involucraron la filtración de datos confidenciales utilizando Rclone a un depósito de almacenamiento en la nube de Wasabi antes de la implementación del ransomware. También se utilizaron en el ataque una serie de herramientas de doble uso como Netscan, Netexec y MeshAgent, así como una versión personalizada del software de escritorio remoto Rustdesk.
POORTRY es un poco diferente de los ataques BYOVD tradicionales en que utiliza un controlador personalizado diseñado expresamente para elevar privilegios y finalizar herramientas de seguridad, en lugar de implementar un controlador legítimo pero vulnerable en la red de destino.
«KillAV, que es una herramienta utilizada para implementar controladores vulnerables para finalizar procesos de seguridad, también se implementó en la red del objetivo», señaló el equipo Symantec y Carbon Black Threat Hunter. «También se habilitó RDP en la red, lo que probablemente proporcione a los atacantes acceso remoto».
Este avance se produce cuando el ransomware sigue siendo una importante amenaza empresarial, con el panorama en constante cambio a medida que algunos grupos cierran sus puertas y otros resurgen rápidamente de sus cenizas o se mudan para ocupar su lugar. Según un análisis de sitios de fuga de datos realizado por Symantec y Carbon Black, los actores de ransomware reclamaron un total de 4.737 ataques durante 2025, frente a 4.701 en 2024, un aumento del 0,8%.
El más activo Los jugadores durante el año pasado fueron Akira (también conocido como Darter o Howling Scorpius), Qilin (también conocido como Stinkbug o Water Galura), Play (también conocido como Balloonfly), INC, SafePay, RansomHub (también conocido como Greenbottle), DragonForce (también conocido como Hackledorb), Sinobi, Rhysida y CACTUS. Algunos de los otros desarrollos notables en el espacio se enumeran a continuación:
- Los actores de amenazas que utilizan el ransomware Akira han aprovechado una Conductor vulnerable del aceleradorjunto con el agente de interfaz de usuario de Windows CardSpace y el canal protegido de Microsoft Media Foundation, para descargar el Abejorro loader en ataques observados entre mediados y finales de 2025.
- Las campañas de ransomware de Akira también han explotado VPN SSL de SonicWall para penetrar entornos de pequeñas y medianas empresas durante fusiones y adquisiciones y, en última instancia, obtener acceso a las empresas adquirentes más grandes. Otro ataque de Akira ha sido encontró aprovechar Hacer clic en arreglar-La verificación CAPTCHA estilo atrae a eliminar un troyano de acceso remoto .NET llamado SectorRATque sirve como conducto para el control remoto y la entrega de ransomware.
- LockBit (también conocido como Syrphid), que asociado con DragonForce y Qilin en octubre de 2025, ha seguido mantener su infraestructura a pesar de un operación de aplicación de la ley cerrar sus operaciones a principios de 2024. También ha lanzado variantes de LockBit 5.0 dirigido a múltiples sistemas operativos y plataformas de virtualización. Una actualización importante de LockBit 5.0 es la introducción de un modelo de implementación de ransomware de dos etapas que separa el cargador de la carga útil principal y, al mismo tiempo, maximiza la evasión, la modularidad y el impacto destructivo.
- Una nueva operación RaaS denominada sicarios ha cobrado solo una víctima desde que apareció por primera vez a fines de 2025. Si bien el grupo se identifica explícitamente como israelí/judío, el análisis ha descubierto que la actividad clandestina en línea se lleva a cabo principalmente en ruso y que el contenido hebreo compartido por el actor de amenazas contiene errores gramaticales y semánticos. Esto ha planteado la posibilidad de una operación de bandera falsa. El operador principal de Sicarii utiliza la cuenta de Telegram «@Skibcum».
- El actor de amenazas conocido como Tormenta-2603 (también conocido como CL-CRI-1040 o Gold Salem) se ha observado aprovechando el legítimo velociraptor Herramienta forense digital y respuesta a incidentes (DFIR) como parte de la actividad precursora que conduce al despliegue de los ransomware Warlock, LockBit y Babuk. Los ataques también utilizaron dos controladores («rsndispot.sys» y «kl.sys») junto con «vmtools.exe» para desactivar las soluciones de seguridad mediante un ataque BYOVD.
- Entidades en India, Brasil y Alemania han sido dirigido por makop ataques de ransomware que explotan sistemas RDP expuestos e inseguros para preparar herramientas para escaneo de red, escalada de privilegios, desactivación de software de seguridad, volcado de credenciales e implementación de ransomware. Los ataques, además de utilizar los controladores «hlpdrv.sys» y «ThrottleStop.sys» para ataques BYOVD, también implementan GuLoader para entregar la carga útil del ransomware. Este es el primer caso documentado de distribución de Makop a través de un cargador.
- Los ataques de ransomware también obtenido acceso inicial utilizando credenciales RDP ya comprometidas para realizar reconocimiento, escalada de privilegios, movimiento lateral a través de RDP, seguido de exfiltración de datos a temperatura[.]sh el sexto día de la intrusión y implementando ransomware lince tres días después.
- Una falla de seguridad en el proceso de cifrado asociado con el ransomware oscuro Se ha descubierto que hace que los archivos grandes sean irrecuperables. «Cuando cifra archivos grandes, no escribe la clave temporal cifrada en el pie de página del archivo», dijo Coveware. «Para archivos de más de 1 GB, ese pie de página nunca se crea, lo que significa que la clave necesaria para el descifrado se pierde. Estos archivos son permanentemente irrecuperables».
- Una nueva familia de ransomware llamada 01voltear se ha dirigido a un conjunto limitado de víctimas en la región de Asia y el Pacífico. Escrito en Rust, el ransomware puede apuntar a sistemas Windows y Linux. Las cadenas de ataques implican la explotación de vulnerabilidades de seguridad conocidas (por ejemplo, CVE-2019-11580) para afianzarse en las redes objetivo. Se ha atribuido a un actor de amenazas con motivación financiera conocido como CL-CRI-1036.
Para protegerse contra ataques dirigidos, se recomienda a las organizaciones que supervisen el uso de herramientas de doble uso, restrinjan el acceso a los servicios RDP, apliquen la autenticación multifactor (2FA), utilicen listas de aplicaciones permitidas cuando corresponda e implementen el almacenamiento externo de copias de seguridad.
«Si bien los ataques que involucran ransomware cifrado siguen siendo tan frecuentes como siempre y siguen representando una amenaza, la llegada de nuevos tipos de ataques sin cifrado añade otro grado de riesgo, creando un ecosistema de extorsión más amplio del cual el ransomware puede convertirse en sólo un componente», Symantec y Carbon Black dicho.
Fuente