top of page
wallpaper-cc-azul_png_edited.jpg

Osiris: Nueva Familia de Ransomware Afecta al Sudeste Asiático

  • Foto del escritor: Security Team
    Security Team
  • hace 7 días
  • 2 Min. de lectura


El CTI de ICS Labs identificó la actividad de una nueva familia de ransomware denominada Osiris, observada en un ataque dirigido contra un gran operador de franquicias del sector alimenticio en el Sudeste Asiático, en noviembre de 2025. Los análisis indican que se trata de un ransomware posiblemente operado por actores de amenazas experimentados.


Visión general de la amenaza

El ransomware Osiris presenta funcionalidades avanzadas y típicas de operaciones modernas de ransomware, incluyendo:

  • Interrupción de servicios y procesos críticos

  • Eliminación de snapshots

  • Cifrado selectivo de archivos y directorios

  • Uso de cifrado híbrido (ECC + AES-128-CTR)


Se observó el uso del controlador malicioso Poortry (Abyssworker), conocido por ataques BYOVD y previamente asociado a operaciones del ransomware Medusa. Además de las capacidades técnicas del payload, la campaña destaca por la clara superposición de tácticas, técnicas y procedimientos (TTPs) con ataques anteriormente atribuidos al grupo Inc ransomware. Entre los puntos de convergencia se encuentran la exfiltración de datos hacia buckets del servicio de almacenamiento en la nube Wasabi y el uso de una variante de Mimikatz con el mismo nombre de archivo (kaz.exe), ya observada en campañas de ese grupo.


Asimismo, los atacantes utilizaron herramientas legítimas como Netscan, Rclone, Rustdesk y RDP para movimiento lateral y exfiltración de datos. También se identificó el uso de KillAV para finalizar procesos de seguridad.


Acciones de recomendación

  • Monitorear y bloquear el uso no autorizado de herramientas como Rclone

  • Restringir y auditar el uso de controladores de kernel

  • Aplicar políticas de Control de Aplicaciones

  • Revisar permisos y exposición de RDP

  • Activar alertas para el uso de herramientas de volcado de credenciales (ej.: Mimikatz)


Medidas de fortalecimiento y protección

  • Implementar protección contra BYOVD (bloqueo de drivers vulnerables)

  • Mantener EDR/XDR con protección a nivel de kernel

  • Aplicar el principio de mínimo privilegio

  • Segmentar la red para reducir el impacto del movimiento lateral

  • Realizar copias de seguridad offline y probadas regularmente

  • Monitorear el uso de herramientas que puedan ser utilizadas con fines maliciosos


IOCs

INDICADOR

TIPO

5c2f663c8369af70f727cccf6e19248c50d7c157fe9e4db220fbe2b73f75c713

Hash – Osiris (exe)

“.osiris”

Extensión de archivos

ausare[.]net

Dominio

wesir[.]net

Dominio

Últimas actualizaciones

  • Noviembre de 2025: El nuevo ransomware Osiris fue utilizado en un ataque contra una gran empresa del sector alimenticio en el Sudeste Asiático.

  • 22 de enero de 2026: Sitios como The Hacker News y Security.com reportan el ransomware y divulgan detalles técnicos sobre la explotación.



 
 
 

Comentarios

wallpaper-cc-azul_png_edited.jpg

CONTATO

ICS Labs

Sua melhor estratégia de defesa

© 2025 ICS - Inorpel CyberSecurity

wallpaper-cc-azul_png_edited.jpg

CONTACTO

JOÃO PESSOA

 

Rua Jose Soares de Medeiros, 1620

Bloco E Módulos 2, 3 e 4, Térreo.

Cabedelo - PB - CEP: 58105-015

ICS Labs

Tu mejor estrategia de defensa

© 2025 ICS - Inorpel CyberSecurity

bottom of page