Im November 2025 wurde ein großes Lebensmittel-Service-Franchise-Unternehmen in Südostasien von einer neuen Familie von Ransomware getroffen, die Experten getauft haben als Osiris. Obwohl es einen Namen mit einer alten Variante im Zusammenhang mit Locky teilt, hat diese Version keine technische Verbindung zu dieser 2016 Malware: es ist eine neue Bedrohung im Verhalten und Code, von Symantec und Carbon Black (Broadcom) Threat Hunting Team erkannt. Um zu verstehen, warum dieser Vorfall so viel Aufmerksamkeit erregt, müssen Sie sich sowohl auf die Raffinesse der Verschlüsselung als auch auf die Kette von Werkzeugen und Techniken vor der Verschlüsselung konzentrieren.
Einer der auffälligsten Elemente des Angriffs war die Verwendung eines schädlichen Treiber genannt POORSITION. Anstatt einen legitimen, aber schutzbedürftigen Fahrer zu verweigern - die Praxis, die als "erweckten Fahrer" bekannt ist (BYOVD) - POORTRY scheint ad hoc für Erhöhen Sie Privilegien und deaktivieren Sie Sicherheitslösungen. Diese Taktik erleichtert es dem Angreifer, Verteidigungsprozesse zu deaktivieren, ohne auf legitime Fahrer mit bekannten Fehlern zu vertrauen; eine Variation, die Erkennung und Reaktion erschwert. Broadcom / Carbon Schwarzer Bericht kommentiert auch über die Verwendung eines Werkzeugs namens KillAV und die Aktivierung von RDP in der gefährdeten Umgebung, Maßnahmen, die zur Stärkung der Fernbedienung und zur Neutralisierung von Gegenmaßnahmen beitragen.
Bevor die Chiffre in Aktion kam, entfernten die Eindringlinge sensible Informationen mit Rclone und verwandelte es in einen Speicher Eimer in der Wolke Abfälle. Dieses Muster - Vorverschlüsselung Exfiltration - wird immer häufiger: die Bedrohung ist nicht mehr nur, dass die Daten durch die Verschlüsselung unzugänglich sind, sondern dass sie auch öffentlich als zusätzlicher Druck zur Rettung austreten können. In diesem Fall die Verwendung einer Version von Mimikatz deren ausführbare hatte den gleichen Dateinamen (kaz.exe), der bei Vorkommnissen im Zusammenhang mit INC Ransomware beobachtet worden war, was mögliche Verbindungen zwischen Operatoren oder Werkzeugwiederverwendung nahelegt.
Aus technischer Sicht wurde Osiris als effektive und flexible Chiffre beschrieben. Es verwendet ein hybrides Verschlüsselungsschema und erzeugt verschiedene Schlüssel für jede Datei, die die Wiederherstellung ohne den entsprechenden privaten Schlüssel erschwert. Es ermöglicht auch, bestimmte Dienstleistungen zu stoppen, wählen Sie Ordner und Erweiterungen, um zu verschlüsseln, Kraftprozess Schließung und verlassen eine Rettungsnote. Standardmäßig versucht es, eine lange Liste von Dienstleistungen und Prozessen im Zusammenhang mit Office-Suiten, Mail-Servern, Browsern und Backup-und Volume-Kopier-Lösungen zu schließen - weitere irritierende Erholung und Kontinuität Ausrüstung -.
Die Intrusion zeigte auch eine intensive Verwendung von Dual- und Remote-Management-Tools: von Scannern und Dienstprogrammen, um Remote-Befehle zu legitimen Access Agenten angepasst oder angepasst, als modifizierte Version von Rustikal. Diese Dienstprogramme, die in defensiven Händen gültig sind, werden Angriffswerkzeuge, wenn die Betreiber mit Privilegien sie verwenden, um sich seitlich zu bewegen, Anmeldeinformationen zu sammeln und schädliche Belastungen einzusetzen. Das in diesem Vorfall beobachtete Muster - interne Erkennung, Cloud-Exfiltration, Verwendung von Fahrern, um die Sicherheit zu deaktivieren und schließlich die Entschlüsselung - passt zu gut koordinierten modernen Angriffsketten.
Das allgemeine Bild von 2025 zeigt, dass Ransomware eine anhaltende und sich entwickelnde Bedrohung bleibt. Die von Erpressungsgruppen veröffentlichten Leckdaten verzeichneten Tausende von Opfern, mit einer leichten Zunahme jedes Jahr, und bekannte Akteure arbeiten weiter, mutieren oder assoziiert miteinander. Gruppen wie Akira, LockBit und andere haben jüngste Taktiken gezeigt, die von der Ausbeutung von Sicherheitslücken und der seitlichen Belastung durch Laster bis hin zur Verwendung von gefährdeten Fahrern, um Verteidigung zu umgehen. Wenn Sie in einige dieser Kampagnen und Techniken gehen wollen, gibt es detaillierte öffentliche Analysen von Unternehmen wie Palo Alto Unit 42 über neue Familien, oder Coveware über kryptographische Implementierungen Fehler, die bestimmte Angriffe in endgültige Datenverlust verwandeln: Analyse von Sicarii, 01Flip Dokumentation und die Beschreibung des Auftretens mit Obscura, die irreversiblen Verlust von Dateien durch einen Ausfall im Verschlüsselungsprozess erzeugt, nach Coveware.
Aus defensiver Sicht gibt es klare Lektionen. Die Begrenzung des Fernzugriffs und die Anwendung von Multifaktor-Authentifizierung sind grundlegende, aber effektive Maßnahmen, insbesondere für Dienste wie RDP, die wiederholt genutzt wurden. Ebenso wichtig ist es, die Nutzung legitimer Verwaltungs- und forensischer Instrumente innerhalb des Netzes zu überwachen und Strategien zu ermöglichen, die die nicht autorisierte binäre Ausführung reduzieren. Mit Off-Site und unmutbaren Backup-und Praxis-Recovery-Pläne reduziert auch die Optionen des Angreifers und ermöglicht die Organisation, ohne zu erpressen.
Über die technische Antwort hinaus erinnert der Fall Osiris daran, dass sich die Datenerpressung entwickelt hat: Verschlüsselung kann nur Teil des Koerzitivierungsschemas sein. Infiltration von Informationen, öffentliche Verbreitung gestohlener Daten und Kombination von kryptographischen und nicht kryptographischen Bedrohungen erweitern Sie den Risikorahmen für Unternehmen aller Größen. Die üblichen Empfehlungen - Aktualisierung und Patching-Systeme, Segmenting-Netzwerke, Auditing-Limits und Telemetrie und Schulungsteams - bleiben die effektivsten, um die Angriffsfläche zu reduzieren.
Bei Sicherheitsbeamten und für jede Organisation mit kritischen Vermögenswerten erinnert dieser Vorfall an die Notwendigkeit, eine umfassende Strategie aufrechtzuerhalten: Erkennungs- und Antworttools, strenge Zugangskontrollen, bewährte Backups und eine abgestimmte Notfall-Reaktionsfähigkeit. Bedrohungen werden nicht nur recycelt; sie werden mit neuen Stücken wie POORTRY und Exfiltrationsketten zu Cloud-Diensten neu erfunden, so dass die Verteidigung mit der gleichen Geschwindigkeit angepasst werden muss. Wenn Sie die in diesem Artikel genannten technischen Berichte und Analysen überprüfen möchten, können Sie den Bericht von Broadcom / Symantec und die öffentliche Analyse von Akteuren und Kampagnen in spezialisierten Quellen wie Sicherheit.com / Broadcom, ReliaQuest und Studien Einheit 42 und Coveware die neuesten Trends zu vertiefen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...