Novo ransomware Osiris agora usa drivers para atacar usuários
Por Lillian Sibila Dala Costa • Editado por Jones Oliveira |
Pesquisadores de segurança das equipes Carbon Black e Symantec descreveram mais detalhes sobre a nova família de ransomware Osiris, que vem afetando diversos países da Ásia desde novembro de 2025. Os ataques estudados estão usando, agora, um driver malicioso chamado POORTRY, entregue às vítimas para desarmar aplicativos de segurança.
- Ransomware-as-a-Service (RaaS): A "uberização" do crime
- O que é um ciberataque "living off the land"?
O novo agente malicioso não possui similaridades com uma variante de mesmo nome do ransomware Locky, que surgiu em 2016. O agente malicioso, vendido como ransomware-as-a-service, mostrou sinais de associação com o INC, também conhecido como Warble, ativo em 2024.
Os ataques foram descritos como living-off-the-land e extraíram dados por buckets Wasabi, também usando uma versão do programa Mimikatz, como visto no caso do INC.
Ransomware Osiris e seus ataques
A diferença dos novos ataques está no uso de ferramentas como Netscan, Netexec, MeshAgent e Rustdesk. O POORTRY também se difere de outros drivers maliciosos por ser desenhado especificamente para elevar privilégios e fechar ferramentas de segurança ao invés de entregar programas vulneráveis à rede afetada.
No cenário de ransomware atual, grupos são desmantelados e outros surgem rapidamente, tomando o lugar do anterior. Em 2025, os principais foram Akira (ou Darter), Qilin (Stinkbug), Play, INC, SafePay, RansomHub, Dragonforce, Sinobi, Rhysida e CACTUS.
No Brasil, houve atividade especificamente do grupo Makop, que mira em sistemas remotos e também entrega drivers maliciosos. Para se proteger, os pesquisadores recomendam a organizações monitorar o uso de ferramentas de uso duplo, restringir acesso a sistemas remotos (RDP), reforçar uso de autenticação por duas etapas e proibir aplicativos suspeitos.
Leia também:
- Microsoft alerta para erro de programação que congela o Outlook no iOS
- Curl remove recompensas por bugs devido a excesso de relatos de IA
- Ataque hacker à Under Armour expôs 72 milhões, mas empresa segue em silêncio
VÍDEO | Como se proteger do ataque ransomware WannaCrypt
Fonte: Symantec & Carbon Black