Underc0de - La Casa de los Informáticos

Investigadores en ciberseguridad han revelado los detalles de una nueva familia de ransomware denominada Osiris, responsable de un ataque altamente sofisticado contra un importante operador de franquicias de servicios de restauración en el sudeste asiático en noviembre de 2025. El incidente destaca por el uso de técnicas avanzadas de evasión, incluyendo Bring Your Own Vulnerable Driver (BYOVD) y un controlador malicioso personalizado llamado POORTRY, diseñado específicamente para desactivar soluciones de seguridad.

El análisis técnico fue realizado por los equipos de Symantec y Carbon Black Threat Hunter, ambos pertenecientes a la división de ciberseguridad de Broadcom, quienes describieron a Osiris como una carga útil de cifrado eficaz, operada probablemente por actores experimentados con conocimientos profundos de sistemas Windows y entornos corporativos.

Osiris no guarda relación con el ransomware homónimo de 2016

A pesar de compartir nombre, Osiris no está relacionado con la variante de ransomware que apareció en diciembre de 2016 como una iteración del ransomware Locky. Los investigadores subrayan que se trata de una cepa completamente nueva, sin código reutilizado ni infraestructura conocida.

Actualmente, no se conoce la identidad de los desarrolladores, ni está claro si Osiris se ofrece como Ransomware como Servicio (RaaS). Sin embargo, Broadcom indicó haber identificado indicios técnicos y operativos que sugieren una posible relación con los actores detrás del ransomware INC, también conocido como Warble.

Citar"La exfiltración de datos a buckets de Wasabi y el uso de una versión de Mimikatz con el mismo nombre de archivo previamente observado en ataques de INC apuntan a posibles vínculos entre ambas operaciones", señalaron los investigadores.

El papel clave de POORTRY y el uso avanzado de BYOVD

Uno de los aspectos más relevantes del ataque es el uso del controlador POORTRY, que se aparta del enfoque tradicional de BYOVD. En lugar de aprovechar un driver legítimo pero vulnerable, POORTRY es un controlador personalizado, creado expresamente para elevar privilegios y terminar procesos de seguridad.

Este enfoque demuestra una madurez técnica superior, ya que reduce la dependencia de vulnerabilidades públicas y complica la detección basada en firmas. Además, durante la intrusión también se desplegó la herramienta KillAV, utilizada para cargar controladores vulnerables con el objetivo de neutralizar software de protección.

Cadena de ataque: exfiltración antes del cifrado

Los primeros indicios de compromiso en la red objetivo revelan que los atacantes priorizaron la exfiltración de datos sensibles antes del cifrado, siguiendo el modelo de doble extorsión. Para ello, utilizaron Rclone para transferir información a un bucket de almacenamiento en la nube de Wasabi.

Durante la fase de reconocimiento y movimiento lateral, se emplearon diversas herramientas de vida en la tierra (LOLBins) y utilidades de doble uso, entre ellas:

• Netscan y Netexec para descubrimiento de red
• MeshAgent para acceso remoto persistente
• Una versión personalizada del software de escritorio remoto RustDesk
• Acceso remoto mediante RDP, que estaba habilitado en la red comprometida

Este conjunto de herramientas permitió a los atacantes operar durante largos periodos sin levantar alertas inmediatas.

Capacidades técnicas del ransomware Osiris

Descrito como una carga de cifrado flexible y eficiente, Osiris emplea un esquema híbrido de cifrado, generando una clave única por archivo, lo que dificulta la recuperación sin la clave privada de los atacantes.

El ransomware ofrece múltiples opciones configurables, entre ellas:

• Detener servicios y procesos críticos
• Definir carpetas y extensiones específicas a cifrar
• Finalizar procesos activos
• Generar y desplegar notas de rescate personalizadas

Por defecto, Osiris está programado para eliminar una amplia lista de procesos y servicios asociados a aplicaciones empresariales, incluyendo Microsoft Office, Microsoft Exchange, Mozilla Firefox, WordPad, Notepad, Volume Shadow Copy, Veeam, entre otros, maximizando el impacto operativo del ataque.

El ransomware sigue evolucionando

Este incidente se produce en un contexto donde el ransomware continúa siendo una de las mayores amenazas para las organizaciones. Según un análisis de sitios de filtración de datos realizado por Symantec y Carbon Black, los actores de ransomware reclamaron 4.737 ataques durante 2025, frente a 4.701 en 2024, lo que representa un incremento del 0,8 %.

Los grupos más activos durante el último año incluyeron Akira, Qilin, Play, INC, SafePay, RansomHub, DragonForce, Sinobi, Rhysida y CACTUS, con campañas cada vez más sofisticadas y adaptativas.

Tendencias clave observadas en 2025

Entre los desarrollos más relevantes del panorama de ransomware destacan:

• Akira explotando controladores vulnerables y VPN SSL de SonicWall, además de utilizar señuelos CAPTCHA tipo ClickFix para desplegar SectopRAT.
• LockBit 5.0 introduciendo un modelo de despliegue en dos etapas, separando el cargador de la carga útil principal para mejorar evasión y modularidad.
• La aparición de Sicarii, un nuevo RaaS con posibles indicios de operación de falsa bandera.
• Storm-2603 abusando de herramientas DFIR legítimas como Velociraptor y múltiples controladores para ataques BYOVD.
• Makop utilizando RDP expuesto, BYOVD y el cargador GuLoader para distribuir ransomware.
• La identificación de un fallo de diseño en Obscura que provoca la pérdida permanente de archivos grandes cifrados.
• La emergencia de 01flip, un ransomware escrito en Rust que ataca Windows y Linux en la región Asia-Pacífico.

Recomendaciones defensivas

Para reducir el riesgo frente a ataques dirigidos como Osiris, los expertos recomiendan:

• Monitorizar el uso de herramientas de doble uso
• Restringir y proteger el acceso RDP
• Aplicar autenticación multifactor (MFA)
• Implementar listas blancas de aplicaciones
• Mantener copias de seguridad offline y fuera del sitio

Citar"El ransomware ya no es solo cifrado. Se está convirtiendo en parte de un ecosistema de extorsión más amplio", concluyeron Symantec y Carbon Black.

Fuente: https://thehackernews.com/