新型Osiris勒索软件利用POORTRY驱动程序发起BYOVD攻击

网络安全研究人员披露了一种名为Osiris的新型勒索软件家族的详细信息，该勒索软件于2025年11月攻击了东南亚一家大型餐饮服务特许经营运营商。

赛门铁克和Carbon Black威胁猎手团队表示，此次攻击利用了一个名为POORTRY的恶意驱动程序，作为"自带易受攻击驱动程序"（BYOVD）技术的一部分来破解安全软件。

值得注意的是，Osiris被评估为全新的勒索软件变种，与2016年12月作为Locky勒索软件迭代版本出现的同名变种没有相似之处。目前尚不清楚该锁定软件的开发者身份，或者它是否作为勒索软件即服务（RaaS）进行推广。

然而，博通旗下的网络安全部门表示，他们发现了一些线索，表明部署该勒索软件的威胁行为者可能此前与INC勒索软件（又名Warble）有关联。

博通在与The Hacker News分享的报告中表示："这次攻击中使用了大量现有工具和双用途工具，以及恶意的POORTRY驱动程序，该驱动程序很可能作为BYOVD攻击的一部分用于禁用安全软件。"

"攻击者将数据泄露到Wasabi存储桶，以及使用之前部署INC勒索软件的攻击者所使用的相同文件名（kaz.exe）的Mimikatz版本，这些都指向了此次攻击与涉及INC的某些攻击之间的潜在联系。"

Osiris被描述为"有效的加密载荷"，很可能由经验丰富的攻击者使用，它采用混合加密方案并为每个文件使用唯一的加密密钥。它还具有灵活性，可以停止服务、指定需要加密的文件夹和扩展名、终止进程并投放勒索信。

默认情况下，它被设计为终止与Microsoft Office、Exchange、Mozilla Firefox、WoRDPad、记事本、卷影复制和Veeam等相关的大量进程和服务。

目标网络上恶意活动的最初迹象涉及在勒索软件部署之前使用Rclone将敏感数据泄露到Wasabi云存储桶。攻击中还使用了许多双用途工具，如Netscan、Netexec和MeshAgent，以及定制版本的Rustdesk远程桌面软件。

POORTRY与传统BYOVD攻击略有不同，它使用专门设计用于提升权限和终止安全工具的定制驱动程序，而不是将合法但易受攻击的驱动程序部署到目标网络。

赛门铁克和Carbon Black威胁猎手团队指出："KillAV是一种用于部署易受攻击驱动程序以终止安全进程的工具，也被部署在目标网络上。网络上还启用了RDP，可能是为了向攻击者提供远程访问。"

这一发展表明勒索软件仍然是企业面临的重大威胁，随着一些组织关闭大门，其他组织迅速从灰烬中崛起或进入取代其位置，威胁格局不断变化。根据赛门铁克和Carbon Black对数据泄露网站的分析，勒索软件行为者在2025年声称进行了4737次攻击，高于2024年的4701次，增长了0.8%。

过去一年最活跃的参与者包括Akira（又名Darter或Howling Scorpius）、Qilin（又名Stinkbug或Water Galura）、Play（又名Balloonfly）、INC、SafePay、RansomHub（又名Greenbottle）、DragonForce（又名Hackledorb）、Sinobi、Rhysida和CACTUS。

使用Akira勒索软件的威胁行为者利用易受攻击的Throttlestop驱动程序，以及Windows CardSpace用户界面代理和Microsoft Media Foundation保护管道，在2025年中后期观察到的攻击中侧载Bumblebee加载器。

Akira勒索软件活动还利用SonicWall SSL VPN在并购期间入侵中小型企业环境，并最终获得对更大收购企业的访问权限。另一次Akira攻击被发现利用ClickFix风格的验证码验证诱饵来投放名为SectopRAT的.NET远程访问木马，该木马作为远程控制和勒索软件传递的通道。

LockBit（又名Syrphid）于2025年10月与DragonForce和Qilin合作，尽管执法部门在2024年初采取行动关闭其运营，但仍继续维护其基础设施。它还发布了针对多个操作系统和虚拟化平台的LockBit 5.0变种。LockBit 5.0的重大更新是引入了两阶段勒索软件部署模型，将加载器与主要载荷分离，同时最大化规避、模块化和破坏性影响。

一个名为Sicarii的新RaaS操作自2025年底首次出现以来仅声称了一个受害者。虽然该组织明确标识自己为以色列/犹太人，但分析发现地下在线活动主要用俄语进行，威胁行为者分享的希伯来语内容包含语法和语义错误。这引发了虚假标记操作的可能性。

被称为Storm-2603（又名CL-CRI-1040或Gold Salem）的威胁行为者被观察到利用合法的Velociraptor数字取证和事件响应工具作为导致部署Warlock、LockBit和Babuk勒索软件的前驱活动的一部分。攻击还利用两个驱动程序和"vmtools.exe"使用BYOVD攻击禁用安全解决方案。

印度、巴西和德国的实体成为Makop勒索软件攻击的目标，该攻击利用暴露和不安全的RDP系统来部署网络扫描、权限升级、禁用安全软件、凭据转储和勒索软件部署工具。除了使用驱动程序进行BYOVD攻击外，这些攻击还部署GuLoader来传递勒索软件载荷。这是Makop通过加载器分发的首个记录案例。

勒索软件攻击还使用已被入侵的RDP凭据获得初始访问权限，进行侦察、权限升级、通过RDP横向移动，然后在入侵第六天将数据泄露到temp.sh，并在三天后部署Lynx勒索软件。

与Obscura勒索软件相关的加密过程中发现的安全漏洞使大文件无法恢复。Coveware表示："当它加密大文件时，无法将加密的临时密钥写入文件的页脚。对于超过1GB的文件，根本不会创建该页脚，这意味着解密所需的密钥丢失了。这些文件永久无法恢复。"

一个名为01flip的新勒索软件家族针对亚太地区有限的受害者。该勒索软件用Rust编写，可以针对Windows和Linux系统。攻击链涉及利用已知的安全漏洞来获得对目标网络的立足点。它被归因于一个被称为CL-CRI-1036的经济动机威胁行为者。

为了防范针对性攻击，建议组织监控双用途工具的使用，限制对RDP服务的访问，强制执行多因素身份验证，在适用的情况下使用应用程序白名单，并实施备份副本的异地存储。

赛门铁克和Carbon Black表示："虽然涉及加密勒索软件的攻击仍然像以往一样普遍并且仍然构成威胁，但新型非加密攻击的出现增加了另一种风险程度，创建了一个更广泛的勒索生态系统，勒索软件可能只是其中的一个组成部分。"

Q&A

Q1：Osiris勒索软件有什么特别之处？

A：Osiris是一种全新的勒索软件变种，采用混合加密方案并为每个文件使用唯一加密密钥。它具有高度灵活性，可以停止服务、指定加密文件夹和扩展名、终止进程并投放勒索信。默认情况下会终止Microsoft Office、Exchange等大量进程和服务。

Q2：BYOVD攻击是什么？POORTRY驱动程序如何工作？

A：BYOVD是"自带易受攻击驱动程序"攻击技术。POORTRY与传统BYOVD攻击不同，它使用专门设计用于提升权限和终止安全工具的定制驱动程序，而不是部署合法但易受攻击的驱动程序到目标网络来破解安全软件。

Q3：如何防范Osiris等勒索软件攻击？

A：建议组织监控双用途工具使用、限制RDP服务访问、强制执行多因素身份验证、使用应用程序白名单，并实施备份副本的异地存储。还要注意新型非加密攻击的出现，这些攻击创建了更广泛的勒索生态系统。