1. 首頁 > 生活百科 > >

新型Osiris勒索軟件利用POORTRY驅動程序發起BYOVD攻擊

網絡安全軟件變種黑澤良平賽門鐵克

新型Osiris勒索軟件利用POORTRY驅動程序發起BYOVD攻擊

網絡安全研究人員披露了一種名為Osiris的新型勒索軟件家族的詳細信息 , 該勒索軟件于2025年11月攻擊了東南亞一家大型餐飲服務特許經營運營商 。

賽門鐵克和Carbon Black威脅獵手團隊表示 , 此次攻擊利用了一個名為POORTRY的惡意驅動程序 , 作為\"自帶易受攻擊驅動程序\"(BYOVD)技術的一部分來破解安全軟件 。
值得注意的是 , Osiris被評估為全新的勒索軟件變種 , 與2016年12月作為Locky勒索軟件迭代版本出現的同名變種沒有相似之處 。 目前尚不清楚該鎖定軟件的開發者身份 , 或者它是否作為勒索軟件即服務(RaaS)進行推廣 。
然而 , 博通旗下的網絡安全部門表示 , 他們發現了一些線索 , 表明部署該勒索軟件的威脅行為者可能此前與INC勒索軟件(又名Warble)有關聯 。
博通在與The Hacker News分享的報告中表示:\"這次攻擊中使用了大量現有工具和雙用途工具 , 以及惡意的POORTRY驅動程序 , 該驅動程序很可能作為BYOVD攻擊的一部分用于禁用安全軟件 。 \"
\"攻擊者將數據泄露到Wasabi存儲桶 , 以及使用之前部署INC勒索軟件的攻擊者所使用的相同文件名(kaz.exe)的Mimikatz版本 , 這些都指向了此次攻擊與涉及INC的某些攻擊之間的潛在聯系 。 \"
Osiris被描述為\"有效的加密載荷\" , 很可能由經驗豐富的攻擊者使用 , 它采用混合加密方案并為每個文件使用唯一的加密密鑰 。 它還具有靈活性 , 可以停止服務、指定需要加密的文件夾和擴展名、終止進程并投放勒索信 。
默認情況下 , 它被設計為終止與Microsoft Office、Exchange、Mozilla Firefox、WordPad、記事本、卷影復制和Veeam等相關的大量進程和服務 。
【新型Osiris勒索軟件利用POORTRY驅動程序發起BYOVD攻擊】目標網絡上惡意活動的最初跡象涉及在勒索軟件部署之前使用Rclone將敏感數據泄露到Wasabi云存儲桶 。 攻擊中還使用了許多雙用途工具 , 如Netscan、Netexec和MeshAgent , 以及定制版本的Rustdesk遠程桌面軟件 。
POORTRY與傳統BYOVD攻擊略有不同 , 它使用專門設計用于提升權限和終止安全工具的定制驅動程序 , 而不是將合法但易受攻擊的驅動程序部署到目標網絡 。
賽門鐵克和Carbon Black威脅獵手團隊指出:\"KillAV是一種用于部署易受攻擊驅動程序以終止安全進程的工具 , 也被部署在目標網絡上 。 網絡上還啟用了RDP , 可能是為了向攻擊者提供遠程訪問 。 \"
這一發展表明勒索軟件仍然是企業面臨的重大威脅 , 隨著一些組織關閉大門 , 其他組織迅速從灰燼中崛起或進入取代其位置 , 威脅格局不斷變化 。 根據賽門鐵克和Carbon Black對數據泄露網站的分析 , 勒索軟件行為者在2025年聲稱進行了4737次攻擊 , 高于2024年的4701次 , 增長了0.8% 。
過去一年最活躍的參與者包括Akira(又名Darter或Howling Scorpius)、Qilin(又名Stinkbug或Water Galura)、Play(又名Balloonfly)、INC、SafePay、RansomHub(又名Greenbottle)、DragonForce(又名Hackledorb)、Sinobi、Rhysida和CACTUS 。
使用Akira勒索軟件的威脅行為者利用易受攻擊的Throttlestop驅動程序 , 以及Windows CardSpace用戶界面代理和Microsoft Media Foundation保護管道 , 在2025年中后期觀察到的攻擊中側載Bumblebee加載器 。
Akira勒索軟件活動還利用SonicWall SSL VPN在并購期間入侵中小型企業環境 , 并最終獲得對更大收購企業的訪問權限 。 另一次Akira攻擊被發現利用ClickFix風格的驗證碼驗證誘餌來投放名為SectopRAT的.NET遠程訪問木馬 , 該木馬作為遠程控制和勒索軟件傳遞的通道 。
LockBit(又名Syrphid)于2025年10月與DragonForce和Qilin合作 , 盡管執法部門在2024年初采取行動關閉其運營 , 但仍繼續維護其基礎設施 。 它還發布了針對多個操作系統和虛擬化平臺的LockBit 5.0變種 。 LockBit 5.0的重大更新是引入了兩階段勒索軟件部署模型 , 將加載器與主要載荷分離 , 同時最大化規避、模塊化和破壞性影響 。
一個名為Sicarii的新RaaS操作自2025年底首次出現以來僅聲稱了一個受害者 。 雖然該組織明確標識自己為以色列/猶太人 , 但分析發現地下在線活動主要用俄語進行 , 威脅行為者分享的希伯來語內容包含語法和語義錯誤 。 這引發了虛假標記操作的可能性 。
被稱為Storm-2603(又名CL-CRI-1040或Gold Salem)的威脅行為者被觀察到利用合法的Velociraptor數字取證和事件響應工具作為導致部署Warlock、LockBit和Babuk勒索軟件的前驅活動的一部分 。 攻擊還利用兩個驅動程序和\"vmtools.exe\"使用BYOVD攻擊禁用安全解決方案 。
印度、巴西和德國的實體成為Makop勒索軟件攻擊的目標 , 該攻擊利用暴露和不安全的RDP系統來部署網絡掃描、權限升級、禁用安全軟件、憑據轉儲和勒索軟件部署工具 。 除了使用驅動程序進行BYOVD攻擊外 , 這些攻擊還部署GuLoader來傳遞勒索軟件載荷 。 這是Makop通過加載器分發的首個記錄案例 。
勒索軟件攻擊還使用已被入侵的RDP憑據獲得初始訪問權限 , 進行偵察、權限升級、通過RDP橫向移動 , 然后在入侵第六天將數據泄露到temp.sh , 并在三天后部署Lynx勒索軟件 。
與Obscura勒索軟件相關的加密過程中發現的安全漏洞使大文件無法恢復 。 Coveware表示:\"當它加密大文件時 , 無法將加密的臨時密鑰寫入文件的頁腳 。 對于超過1GB的文件 , 根本不會創建該頁腳 , 這意味著解密所需的密鑰丟失了 。 這些文件永久無法恢復 。 \"
一個名為01flip的新勒索軟件家族針對亞太地區有限的受害者 。 該勒索軟件用Rust編寫 , 可以針對Windows和Linux系統 。 攻擊鏈涉及利用已知的安全漏洞來獲得對目標網絡的立足點 。 它被歸因于一個被稱為CL-CRI-1036的經濟動機威脅行為者 。
為了防范針對性攻擊 , 建議組織監控雙用途工具的使用 , 限制對RDP服務的訪問 , 強制執行多因素身份驗證 , 在適用的情況下使用應用程序白名單 , 并實施備份副本的異地存儲 。
賽門鐵克和Carbon Black表示:\"雖然涉及加密勒索軟件的攻擊仍然像以往一樣普遍并且仍然構成威脅 , 但新型非加密攻擊的出現增加了另一種風險程度 , 創建了一個更廣泛的勒索生態系統 , 勒索軟件可能只是其中的一個組成部分 。 \"
Q&A
Q1:Osiris勒索軟件有什么特別之處?
A:Osiris是一種全新的勒索軟件變種 , 采用混合加密方案并為每個文件使用唯一加密密鑰 。 它具有高度靈活性 , 可以停止服務、指定加密文件夾和擴展名、終止進程并投放勒索信 。 默認情況下會終止Microsoft Office、Exchange等大量進程和服務 。
Q2:BYOVD攻擊是什么?POORTRY驅動程序如何工作?
A:BYOVD是\"自帶易受攻擊驅動程序\"攻擊技術 。 POORTRY與傳統BYOVD攻擊不同 , 它使用專門設計用于提升權限和終止安全工具的定制驅動程序 , 而不是部署合法但易受攻擊的驅動程序到目標網絡來破解安全軟件 。
Q3:如何防范Osiris等勒索軟件攻擊?
A:建議組織監控雙用途工具使用、限制RDP服務訪問、強制執行多因素身份驗證、使用應用程序白名單 , 并實施備份副本的異地存儲 。 還要注意新型非加密攻擊的出現 , 這些攻擊創建了更廣泛的勒索生態系統 。

    推薦閱讀