Investigadores de ciberseguridad han revelado detalles de una nueva familia de ransomware llamada Osiris que se dirigió a los principales operadores de franquicias de servicios de alimentos en el sudeste asiático en noviembre de 2025.
Según Symantec y el equipo Carbon Black Threat Hunter, el ataque utilizó un controlador malicioso llamado POORTRY como parte de una técnica conocida como BYOVD (Bring Your Own Vulnerable Driver) para desactivar el software de seguridad.
Vale la pena señalar que se considera que Osiris es una cepa de ransomware completamente nueva y no se parece a otra variante del mismo nombre que surgió en diciembre de 2016 como una iteración del ransomware Locky. En este momento, no está claro quién es el desarrollador de este casillero y si se anuncia como ransomware como servicio (RaaS).
Sin embargo, la división de ciberseguridad de Broadcom dijo que ha identificado pistas que sugieren que los atacantes que implementaron el ransomware pueden haber estado involucrados previamente con el ransomware INC, también conocido como Warble.
«Este ataque utilizó una amplia gama de herramientas terrestres y de doble propósito, incluido el controlador malicioso POORTRY, que puede haber sido utilizado como parte de un ataque de tipo «traiga su propio controlador vulnerable» (BYOVD) para desactivar el software de seguridad», dijo la compañía en un informe compartido con The Hacker News.
«La exfiltración de datos en el depósito de Wasabi por parte de los atacantes y el uso de una versión previamente utilizada de Mimikatz con el mismo nombre de archivo (kaz.exe) por parte de los atacantes que implementan el ransomware INC, indica un vínculo potencial entre este ataque y algunos ataques que involucran a INC».
Osiris ha sido descrito como una «carga criptográfica eficaz» que probablemente sea utilizada por atacantes experimentados, aprovechando un esquema de cifrado híbrido y claves de cifrado únicas para cada archivo. También es flexible porque puede detener servicios, especificar carpetas y extensiones que deben cifrarse, finalizar procesos, eliminar notas de rescate y más.
De forma predeterminada, está diseñado para eliminar una larga lista de procesos y servicios relacionados con Microsoft Office, Exchange, Mozilla Firefox, WordPad, Notepad, Volume Shadow Copy, Veeam y más.
Los signos iniciales de actividad maliciosa en la red del objetivo incluyeron la filtración de datos confidenciales utilizando Rclone a un depósito de almacenamiento en la nube de Wasabi antes de la implementación del ransomware. El ataque también utilizó una serie de herramientas de doble propósito, incluidas Netscan, Netexec y MeshAgent, así como una versión personalizada del software de escritorio remoto Rustdesk.
POORTRY se diferencia ligeramente de los ataques BYOVD tradicionales en que, en lugar de implementar un controlador legítimo pero vulnerable en la red de destino, utiliza un controlador personalizado diseñado específicamente para escalar privilegios y cancelar herramientas de seguridad.
«KillAV, una herramienta que implementa controladores vulnerables que finalizan los procesos de seguridad, también se implementó en las redes objetivo», dijo el equipo de cazadores de amenazas de Symantec y Carbon Black. «RDP también estaba habilitado en la red, lo que pudo haber proporcionado al atacante acceso remoto».
Este desarrollo se produce cuando el ransomware sigue siendo una amenaza importante para las empresas y el panorama cambia constantemente, con algunos grupos cerrando sus puertas y otros resurgiendo rápidamente de las cenizas o interviniendo para ocupar su lugar. Según un análisis de sitios de violación de datos realizado por Symantec y Carbon Black, hubo un total de 4.737 ataques de atacantes de ransomware en 2025, un aumento del 0,8% con respecto a los 4.701 de 2024.
Los jugadores más activos durante el año pasado fueron Akira (también conocido como Darter o Howling Scorpius), Qilin (también conocido como Stinkbug o Water Galura), Play (también conocido como Balloonfly), INC, SafePay, RansomHub (también conocido como Greenbottle), DragonForce (también conocido como Hackledorb), Sinobi, Rhysida y CACTUS. Algunos de los otros desarrollos notables en esta área incluyen:
Los atacantes que utilizaron el ransomware Akira aprovecharon el controlador Throttlestop vulnerable, junto con el agente de interfaz de usuario de Windows CardSpace y el canal protegido de Microsoft Media Foundation, para descargar el cargador Bumblebee en ataques observados a mediados y finales de 2025. La campaña de ransomware Akira también aprovechó SonicWall SSL VPN para infiltrarse en los entornos comerciales de las pequeñas y medianas empresas durante fusiones y adquisiciones y, en última instancia, obtener acceso a grandes empresas adquirentes. Se descubrió que otro ataque de Akira utilizaba un señuelo de validación CAPTCHA estilo ClickFix para soltar un troyano de acceso remoto .NET llamado SectopRAT, que actúa como un conducto para el control remoto y la entrega de ransomware. LockBit (también conocido como Syrphid), que se asoció con DragonForce y Qilin en octubre de 2025, continúa manteniendo su infraestructura a pesar de las operaciones policiales para cesar sus operaciones a principios de 2024. También estamos lanzando variantes de LockBit 5.0 dirigidas a múltiples sistemas operativos y plataformas de virtualización. Una actualización clave en LockBit 5.0 es la introducción de un modelo de implementación de ransomware de dos etapas que separa el cargador de la carga útil principal y al mismo tiempo maximiza la evasión, la modularidad y el impacto destructivo. Una nueva operación RaaS llamada Sicarii solo ha tenido una víctima desde que apareció por primera vez a finales de 2025. Aunque el grupo se identifica explícitamente como israelí/judío, el análisis revela que su actividad clandestina en línea se lleva a cabo principalmente en ruso y que el contenido hebreo compartido por los actores de la amenaza contiene errores gramaticales y semánticos. Esto aumentó la posibilidad de una operación de bandera falsa. El principal operador Sicarii de Sicarii utiliza la cuenta de Telegram «@Skibcum». Se ha observado que el atacante, conocido como Storm-2603 (también conocido como CL-CRI-1040 o Gold Salem), aprovecha herramientas legítimas de análisis forense digital y respuesta a incidentes (DFIR) de Velociraptor como parte de actividades precursoras que conducen a la implementación de los ransomware Warlock, LockBit y Babuk. El ataque también aprovecha dos controladores (‘rsndispot.sys’ y ‘kl.sys’) y ‘vmtools.exe’ para desactivar soluciones de seguridad que utilizan ataques BYOVD.
Empresas de India, Brasil y Alemania han sido blanco de ataques de ransomware Makop que explotan sistemas RDP expuestos e inseguros para preparar herramientas para escaneo de redes, escalada de privilegios, desactivación de software de seguridad, volcado de credenciales e implementación de ransomware. El ataque utiliza los controladores ‘hlpdrv.sys’ y ‘ThrottleStop.sys’ para ataques BYOVD y también implementa GuLoader para entregar cargas útiles de ransomware. Este es el primer caso documentado de distribución de Makop a través de un cargador. El ataque de ransomware también utiliza credenciales RDP ya comprometidas para obtener acceso inicial y realizar reconocimiento, escalada de privilegios y movimiento lateral a través de RDP, seguido de extracción de datos a temp(.)sh el día 6 de la infracción y la implementación del ransomware Lynx tres días después. Se descubrió que una falla de seguridad en el proceso de cifrado asociado con el ransomware Obscura hacía que los archivos grandes fueran irrecuperables. «Al cifrar archivos grandes, no se puede escribir la clave temporal cifrada en el pie de página del archivo», dijo Coveware. «Para archivos de más de 1 GB, sus pies de página no se crean en absoluto, lo que significa que se pierde la clave necesaria para el descifrado. Estos archivos son permanentemente irrecuperables». Una nueva familia de ransomware llamada 01flip tiene como objetivo un número limitado de víctimas en la región de Asia y el Pacífico. Escrito en Rust, este ransomware puede apuntar a sistemas Windows y Linux. La cadena de ataque implica explotar vulnerabilidades de seguridad conocidas (como CVE-2019-11580) para afianzarse en la red objetivo. Se cree que esto es obra de un atacante con motivación financiera conocido como CL-CRI-1036.
Para protegerse contra ataques dirigidos, se alienta a las organizaciones a monitorear el uso de herramientas de doble uso, restringir el acceso a los servicios RDP, aplicar la autenticación multifactor (2FA), utilizar listas blancas de aplicaciones cuando corresponda e implementar el almacenamiento externo de copias de seguridad.
Symantec y Carbon Black dijeron: «Los ataques criptográficos de ransomware siguen siendo frecuentes y siguen siendo una amenaza, pero la aparición de nuevos tipos de ataques no criptográficos aumenta aún más el riesgo y crea un ecosistema de extorsión más amplio, del cual el ransomware puede ser sólo una parte».
Source link
