Osiris: новая угроза вымогателей или старые знакомые? Анализ свежей атаки на компании Юго-Восточной Азии

Происхождение этого шифровальщика и его модель распространения (например, по схеме Ransomware-as-a-Service, RaaS) пока не установлены. Однако есть признаки, указывающие на возможную связь злоумышленников, применивших Osiris, с группой, ранее распространявшей Inc ransomware. В ходе атаки применялся широкий арсенал легитимных (living off the land) и двойного назначения инструментов. В частности, был задействован вредоносный драйвер Poortry, который, вероятно, использовался в атаке типа bring-your-own-vulnerable-driver (BYOVD, "принеси свой уязвимый драйвер") для отключения средств безопасности.

Кроме того, факты указывают на пересечение тактик с предыдущими инцидентами. Экфильтрация данных в облачные хранилища Wasabi и использование версии инструмента Mimikatz с тем же именем файла (kaz.exe), что и у атакующих с Inc ransomware, свидетельствуют о потенциальных связях между этими кампаниями.

Функциональность шифровальщика Osiris

Osiris обладает типичным для современных вымогателей функционалом. Он способен останавливать службы, задавать целевые папки и расширения файлов для шифрования, завершать процессы, шифровать данные и оставлять записку с требованиями. Программа поддерживает ряд команд для тонкой настройки, включая указание лог-файла, путей к файлам и директориям, а также режимов шифрования ("head" для частичного или "full" для полного).

Шифратор обходит файлы с определёнными расширениями, такими как .exe, .dll, .sys, а также системные папки, включая "windows" и "programdata". При этом папки "program files" и "program files (x86)" не защищены от его воздействия. После завершения шифрования Osiris добавляет к именам файлов расширение .Osiris и удаляет теневое копирование томов (Volume Shadow Copy Service, VSS).

Для обеспечения максимального ущерба Osiris принудительно завершает длинный список процессов, связанных с базами данных (sql, oracle), офисными приложениями (excel, outlook, winword), системами резервного копирования (Veeam) и коммуникациями (thunderbird). Также он останавливает ключевые службы, в том числе vss и backup. Для шифрования используется гибридная схема: ECC + AES-128-CTR, причём для каждого файла генерируется уникальный AES-ключ. Управление асинхронными операциями ввода-вывода осуществляется через completionIOPort. Финальным шагом является создание файла с требованиями выкупа Osiris-MESSAGE.txt, который содержит заявление об украденных данных и ссылку на чат для переговоров.

Цепочка атаки и тактика злоумышленников

Подозрительная активность в сети жертвы была зафиксирована за несколько дней до непосредственного развёртывания ransomware. Сначала с помощью утилиты Rclone была проведена экфильтрация данных в облачное хранилище Wasabi - легитимный сервис, который аналогичным образом использовался атакующими Inc ransomware в октябре 2025 года. Это сходство может указывать либо на эмуляцию тактик, либо на переход бывшего аффилированного лица из экосистемы Inc к работе с Osiris.

В арсенале злоумышленников также были обнаружены инструменты двойного назначения Netscan, Netexec и MeshAgent. Особый интерес представляет кастомная версия инструмента для удалённого управления Rustdesk. Она была модифицирована для маскировки: файловое описание изменено на "WinZip Remote Desktop", а в качестве иконки использован логотип WinZip.

Ключевым элементом атаки стало использование вредоносного драйвера, известного как Abyssworker или Poortry. Он маскировался под драйвер Malwarebytes и, вероятно, применялся в рамках BYOVD-атаки для нейтрализации средств защиты. Poortry впервые был задокументирован специалистами Mandiant (Google) в 2022 году. В 2024-2025 годах он использовался в атаках, приписываемых группе Medusa ransomware. Обычно этот драйвер загружается с помощью лоадера Stonestop, который инструктирует его о дальнейших действиях. Техника BYOVD в настоящее время является наиболее распространённым методом нарушения работы систем защиты у групп вымогателей. Атакующие, как правило, используют подписанный уязвимый драйвер для получения привилегий уровня ядра и остановки процессов безопасности. Poortry несколько необычен, поскольку, в отличие от многих случаев, он, по-видимому, был разработан самими злоумышленниками, которые затем добились его подписания. Обычно для BYOVD используются легитимные уязвимые драйверы.

На целевой сети также был развёрнут инструмент KillAV, предназначенный для развёртывания уязвимых драйверов и завершения процессов безопасности. Дополнительно злоумышленники включили протокол удалённого рабочего стола (RDP), вероятно, для обеспечения постоянного доступа (persistence).

Новый шифровальщик, опытные операторы?

Пока сложно оценить, какое влияние Osiris окажет на ландшафт цифрового вымогательства в целом. Однако уже ясно, что это эффективный шифрующий нагрузка (payload), управляемый опытными атакующими. Использование облачного сервиса Wasabi и специфической версии Mimikatz указывает на потенциальную связь с группой Inc ransomware или её аффилированными лицами. В то же время применение драйвера Poortry, который ранее ассоциировался с атаками Medusa, может свидетельствовать о другом векторе, хотя этот инструмент не является эксклюзивным для одной группы.

Появление нового семейства ransomware всегда заслуживает пристального внимания специалистов по безопасности. Постоянно меняющаяся среда цифровых угроз требует непрерывного мониторинга и анализа подобных инцидентов, чтобы своевременно разрабатывать эффективные меры защиты. История с Osiris напоминает, что даже новые имена в отчётах часто скрывают за собой старые, отработанные приёмы опытных киберпреступников.

Domains

• ausare.net
• wesir.net

SHA256

• 231e6bee1ee77d70854c1e3600342d8a69c18442f601cd201e033fa13cb8d5a5
• 39a0565f0c0adc4dc5b45c67134b3b488ddb9d67b417d32e9588235868316fac
• 44748c22baec61a0a3bd68b5739736fa15c479a3b28c1a0f9324823fc4e3fe34
• 44e007741f7650d1bd04cca3cd6dfd4f32328c401f95fb2d6d1fafce624cc99e
• 534bd6b99ed0e40ccbefad1656f03cc56dd9cc3f6d990cd7cb87af4cceebe144
• 5bd82a1b2db1bdc8ff74cacb53823edd8529dd9311a4248a86537a5b792939f8
• 5c2f663c8369af70f727cccf6e19248c50d7c157fe9e4db220fbe2b73f75c713
• 79bd876918bac1af641be10cfa3bb96b42c30d18ffba842e0eff8301e7659724
• 824e16f0664aaf427286283d0e56fdc0e6fa8698330fa13998df8999f2a6bb61
• 8c378f6200eec750ed66bde1e54c29b7bd172e503a5874ca2eead4705dd7b515
• C189595c36996bdb7dce6ec28cf6906a00cbb5c5fe182e038bf476d74bed349e
• c74509fcae41fc9f63667dce960d40907f81fae09957bb558d4c3e6a786dde7d
• Ce719c223484157c7f6e52c71aadaf496d0dad77e40b5fc739ca3c51e9d26277
• D524ca33a4f20f70cb55985289b047defc46660b6f07f1f286fa579aa70cf57a
• d78f7d9b0e4e1f9c6b061fb0993c2f84e22c3e6f32d9db75013bcfbba7b64bc3
• fc39cca5d71b1a9ed3c71cca6f1b86cfe03466624ad78cdb57580dba90847851
• fff586c95b510e6c8c0e032524026ef22297869a86d14075cd601ca8e20d4a16