Osiris: Nova Família de Ramsonware Atinge Sudoeste Asiático
- Security Team
- há 5 dias
- 2 min de leitura
O CTI do ICS Labs identificou a atividade de uma nova família de ransomware denominada Osiris, observada em um ataque direcionado contra um grande operador de franquias do setor alimentício no Sudeste Asiático, em novembro de 2025. As análises indicam que se trata de um ransomware possivelmente operado por agentes experientes.
Visão geral da ameaça:
O ransomware Osiris apresenta funcionalidades avançadas e típicas de operações de ransomware modernas, incluindo:
Interrupção de serviços e processos críticos
Exclusão de snapshots
Criptografia seletiva de arquivos e diretórios
Uso de criptografia híbrida (ECC + AES-128-CTR)
Foi observado o uso do driver malicioso Poortry (Abyssworker), conhecido por ataques de BYOVD, anteriormente associado a operações do ransomware Medusa. Além das capacidades técnicas do payload, a campanha se destaca pela clara sobreposição de táticas, técnicas e procedimentos (TTPs) com ataques anteriormente atribuídos ao grupo Inc ransomware. Entre os principais pontos de convergência estão a exfiltração de dados para buckets do serviço de armazenamento em nuvem Wasabi e o uso de uma variante do Mimikatz com o mesmo nome de arquivo (kaz.exe) já observado em campanhas desse grupo.
Além disso, os atacantes fizeram uso de ferramentas legítimas como Netscan, Rclone, Rustdesk e RDP para movimentação lateral e exfiltração de dados. Foi identificado também o uso do KillAV para encerramento de processos de segurança.
Ações de recomendação:
Monitorar e bloquear o uso não autorizado de ferramentas como Rclone
Restringir e auditar o uso de drivers de kernel
Aplicar políticas de controle de aplicações (Application Control)
Revisar permissões e exposição de RDP
Ativar alertas para uso de ferramentas de dump de credenciais (ex: Mimikatz)
Medidas de Fortalecimento e Proteção:
Implementar proteção contra BYOVD (bloqueio de drivers vulneráveis)
Manter EDR/XDR com proteção em nível de kernel
Aplicar princípio de menor privilégio
Segmentar a rede para reduzir impacto de movimentação lateral
Realizar backups offline e testados regularmente
Monitorar o uso de ferramentas que possam ter uso malicioso
IOCs:
INDICADORES | TIPO |
5c2f663c8369af70f727cccf6e19248c50d7c157fe9e4db220fbe2b73f75c713 | Hash – Osiris (exe) |
“.osiris” | Extensão de arquivos |
ausare[.]net | Domínio |
wesir[.]net | Domínio |
Últimas atualizações:
Novembro, 2025: Novo ransomware Osiris foi utilizado em ataque contra uma grande empresa alimentícia no Sudoeste Asiático.
22 de janeiro, 2026: Sites como The Hacker News e Security.com reportam o ransomware e divulgam detalhes técnicos sobre a exploração ocorrida.
![Comunicado - FortiCloud Single Sign-On (SSO) [FG-IR-25-647 e FG-IR-26-060]](https://static.wixstatic.com/media/4c1ca0_76141435f8304e25a77496584f3873b6~mv2.png/v1/fill/w_980,h_551,al_c,q_90,usm_0.66_1.00_0.01,enc_avif,quality_auto/4c1ca0_76141435f8304e25a77496584f3873b6~mv2.png)
Comentários