複数ライセンス割引見積
脅威データベース ランサムウェア Osirisランサムウェアファミリー

Osirisランサムウェアファミリー

ランサムウェア, 高度な持続的脅威 (APT)Mezoまで
翻訳内容:

サイバーセキュリティ研究者は、2025年11月に東南アジアの大手食品サービスフランチャイズ事業者が攻撃を受けた後、これまで記録に残されていなかったランサムウェアファミリー「Osiris」の存在を明らかにしました。分析によると、これは新たに開発されたランサムウェアであり、2016年12月に確認されたLockyから派生したOsirisの亜種とは関連がないことが示されています。開発者の身元は依然として不明であり、このマルウェアがRaaS(ランサムウェア・アズ・ア・サービス)の一環として提供されているかどうかは確認されていません。

攻撃チェーンと初期の侵害

被害者ネットワークで確認された最初の悪意ある活動は、ランサムウェア展開前の機密データの窃取でした。攻撃者はRcloneを使用して、Wasabiでホストされているクラウドストレージバケットに情報を転送しました。このフェーズに続いて、制御を確立し、横方向への攻撃拡大を行い、暗号化のための環境を準備するためのツールが段階的に導入されました。

さまざまな自給自足型ユーティリティと二重使用ユーティリティが、リモート管理コンポーネントとともに活用され、通常の管理活動に溶け込み、早期検出を最小限に抑えました。

INCランサムウェア活動との疑わしい関連性

いくつかの兆候から、INCランサムウェア(別名Warble)で以前関連付けられていたアクターとの重複が示唆されています。特に注目すべきは、攻撃者がMimikatzの同じファイル名(kaz.exe)を持つバージョンを使用していたことです。これは、以前のINC関連インシデントで確認されています。さらに、情報流出のインフラストラクチャと手口は、以前このエコシステムに関連付けられていた手法と酷似していますが、明確なアトリビューションは確立されていません。

POORTRYドライバーとBYOVD戦術

侵入の中心的な特徴は、POORTRYと呼ばれる悪意のあるドライバの展開でした。これは、脆弱性のあるドライバを持ち込む(BYOVD)攻撃で使用され、エンドポイントの防御を無効化します。正規のドライバを利用する従来のBYOVD攻撃とは異なり、POORTRYは権限昇格とセキュリティツールの無効化を目的として特別に設計された特注のドライバです。

さらに、脆弱なドライバをロードして保護ソフトウェアを無効にする既知のユーティリティであるKillAVを使用して環境が準備されました。また、永続的なインタラクティブアクセスを可能にするために、リモートデスクトッププロトコルも有効化されていました。

Osirisランサムウェアの機能

Osirisは、成熟した効果的な暗号化ペイロードとされており、経験豊富な脅威アクターによって運用されている可能性が高い。ハイブリッド暗号モデルを実装し、ファイルごとに固有の暗号鍵を生成するため、復旧作業は著しく困難になる。このランサムウェアは広範な設定をサポートしており、攻撃者は被害者の環境に合わせて実行を微調整することができる。

主な機能は次のとおりです。

  • サービスを停止し、プロセスを終了し、バックアップまたは回復メカニズムを無効にします。
  • 対象となるフォルダーとファイル拡張子を定義し、完了時にカスタマイズされた身代金要求メモを生成します。

デフォルトでは、Osiris は、生産性ソフトウェア、電子メール サーバー、ブラウザー、テキスト エディター、ボリューム シャドウ コピー、および Veeam などのエンタープライズ バックアップ プラットフォームに関連付けられているプロセスとサービスを積極的に終了するように構成されています。

侵入を支援するために使用されたツール

ランサムウェア自体に加え、攻撃者は偵察、ラテラルムーブメント、リモート管理ユーティリティなどのツールキットを活用して運用制御を維持していました。侵入時に確認されたツールには以下が含まれます。

  • ネットワークの検出と実行のための Netscan と Netexec。
  • MeshAgent と、永続的なリモート アクセスを実現する Rustdesk リモート デスクトップ アプリケーションのカスタマイズされたビルド。
  • クラウド ストレージへの自動データ流出を実現する Rclone。

進化する恐喝環境への影響

暗号化型ランサムウェアは依然として組織にとって重大なリスクをもたらしていますが、今回のインシデントは、多面的な恐喝キャンペーンへの広範な進化を浮き彫りにしています。データ窃取への重点化、悪意のあるドライバによる防御回避、そして暗号化なしの攻撃やハイブリッド攻撃の増加により、脅威の状況は拡大しています。その結果、ランサムウェアは、より広範かつ複雑な恐喝エコシステムにおける単なる一要素となりつつあり、同様に適応的な防御戦略が求められています。

トレンド

Axischainedge.com

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
ウェブを閲覧する際には常に注意を払うことが重要です。悪質なウェブサイトは、ユーザーの不注意や好奇心を悪用することを目的としており、偽のCAPTCHAチェックなど、欺瞞的な手法を用いてユーザーを誘導し、「許可」ボタンをクリックさせようとします。これにより、訪問者は知らないうちに煩わしいプッシュ通知を受信してしまいます。これらの通知を通じて配信される広告は疑わしいものであり、決して操作すべきでは...

MegaETH登録詐欺

不正なウェブサイト
インターネットを閲覧する際の注意はもはやオプションではなく、必須です。サイバー犯罪者はユーザーを欺くための新たな手法を絶えず開発しており、悪意のあるウェブサイトを正規のプラットフォームに偽装することがよくあります。不注意なクリックや衝動的なデジタルウォレット接続の判断が、取り返しのつかない経済的損失につながる可能性があります。最近確認された「MegaETH登録」詐欺は、いかに巧妙な詐欺行為が...

ウェブスキミング攻撃キャンペーン

不正なウェブサイト
サイバーセキュリティ研究者は、2022年1月から活発に活動している大規模なウェブスキミング攻撃を発見しました。この攻撃は、アメリカン・エキスプレス、ダイナースクラブ、ディスカバー、株式会社ジェーシービー、マスターカード、銀聯(ユニオンペイ)などの主要な決済ネットワークを利用する企業を標的としています。これらの決済サービスをオンラインチェックアウトシステムに統合している企業は、最も高いリスクに...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
44,184
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
34,072
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

修正方法「macOSはこのアプリにマルウェアがないことを確認できません」

問題
32,570
Macユーザーは通常、不明な開発者または公式のApp Storeで入手できず、サードパーティのアプリから提供されているアプリケーションをインストールしようとしているときに、「macOSはこのアプリにマルウェアがないことを確認できません」というメッセージが表示されます。licationプラットフォーム。このような場合、Gatekeepと呼ばれる組み込みのMacセキュリティシステムは、特定のアプ...
読み込んでいます...