En novembre 2025, une grande société de franchise de services alimentaires en Asie du Sud-Est a été frappée par une nouvelle famille de ransomware que les experts ont baptisée Osiris. Bien qu'il partage un nom avec une ancienne variante liée à Locky, cette version n'a aucune connexion technique avec ce malware 2016: il s'agit d'une nouvelle menace dans le comportement et le code, détectée par l'équipe Symantec et Carbon Black (Broadcom) Threat Hunting. Pour comprendre pourquoi cet incident suscite tant d'attention, vous devez vous concentrer à la fois sur la sophistication du chiffrement et la chaîne d'outils et de techniques avant le chiffrement.
Un des éléments les plus frappants de l'attaque a été l'utilisation d'un conducteur malveillant appelé POUVOIR. Au lieu de réutiliser un conducteur légitime mais vulnérable - la pratique connue sous le nom de "porter votre propre conducteur vulnérable" (BYOVD) - POORTRY semble avoir été créé ad hoc pour lever des privilèges et désactiver les solutions de sécurité. Cette tactique permet à l'attaquant de désactiver les processus défensifs sans compter sur des conducteurs légitimes avec des échecs connus; une variation qui complique la détection et la réponse. Broadcom / Carbone Le rapport noir commente également l'utilisation d'un outil appelé KillAV et l'activation du PDR dans l'environnement compromis, mesures qui contribuent à renforcer la télécommande et à neutraliser les contre-mesures.
Avant l'entrée en action du chiffrement, les intrus ont retiré les informations sensibles en utilisant Rclone et l'a transformé en un seau de stockage dans le nuage de Wasabi. Ce modèle - l'exfiltration pré-encryptage - devient de plus en plus courant : la menace n'est plus seulement que les données sont inaccessibles par le chiffrement, mais qu'elles peuvent aussi être divulguées publiquement comme une pression supplémentaire pour payer pour le sauvetage. Dans ce cas, l'utilisation d'une version de Mimikatz dont l'exécutable avait le même nom de fichier (kaz.exe) qui avait été observé dans des incidents liés à INC ransomware, suggérant des connexions possibles entre les opérateurs ou la réutilisation d'outils.
Du point de vue technique, Osiris a été décrit comme un chiffre efficace et flexible. Il utilise un schéma de chiffrement hybride et génère différentes clés pour chaque fichier, ce qui complique la récupération sans la clé privée correspondante. Il permet également d'arrêter des services spécifiques, de sélectionner des dossiers et des extensions au chiffrement, de forcer la fermeture du processus et de laisser une note de sauvetage. Par défaut, il tente de fermer une longue liste de services et de processus liés aux suites de bureau, serveurs de courrier, navigateurs et solutions de sauvegarde et de copie de volume - plus irritant matériel de récupération et de continuité -.
L'intrusion a également montré l'utilisation intense d'outils de gestion dual et distante: des scanners et des utilitaires à exécuter des commandes distantes aux agents d'accès légitimes adaptés ou personnalisés, comme une version modifiée de Rustdesk. Ces utilitaires, valides dans les mains défensives, deviennent des outils d'attaque lorsque les opérateurs avec des privilèges les utilisent pour se déplacer latéralement, recueillir des pouvoirs et déployer des charges malveillantes. Le schéma observé dans cet incident - reconnaissance interne, infiltration de nuages, utilisation de conducteurs pour désactiver la sécurité et enfin déploiement du chiffre - s'inscrit dans des chaînes d'attaque modernes bien coordonnées.
Le tableau général de 2025 montre que Ransomware demeure une menace persistante et évolutive. Les données de fuite publiées par les groupes d'extorsion ont enregistré des milliers de victimes, avec une légère augmentation chaque année, et des acteurs bien connus continuent d'opérer, de muter ou de s'associer. Des groupes comme Akira, LockBit et d'autres ont montré des tactiques récentes allant de l'exploitation des vulnérabilités et de la charge latérale jusqu'à l'utilisation de conducteurs vulnérables pour échapper aux défenses. Si vous voulez entrer dans certaines de ces campagnes et techniques, il y a des analyses publiques détaillées d'entreprises telles que Palo Alto Unit 42 sur les nouvelles familles, ou Coveware sur les échecs d'implémentations cryptographiques qui transforment certaines attaques en perte définitive de données: analyse de Sicarii, 01Documentation du feuillet et la description de l'incidence avec Obscura qui a généré la perte irréversible de fichiers par une défaillance dans le processus de chiffrement, selon Coveware.
D'un point de vue défensif, il y a des leçons claires. Limiter l'accès à distance et appliquer l'authentification multifactorielle sont des mesures fondamentales mais efficaces, en particulier pour les services tels que RDP qui ont été exploités à plusieurs reprises. Il est également important de surveiller l'utilisation des outils d'administration et de criminalistique légitimes au sein du réseau et d'avoir des politiques habilitantes qui réduisent l'exécution binaire non autorisée. Avoir une sauvegarde hors site et immuable et pratiquer des plans de récupération réduit également les options de l'agresseur et permet à l'organisation de récupérer sans céder à l'extorsion.
Au-delà de la réponse technique, l'affaire Osiris rappelle que l'extorsion de données a évolué : le cryptage ne peut que faire partie du système coercitif. Infiltration d'informations, diffusion publique de données volées et combinaison de menaces cryptographiques et non cryptographiques élargir le cadre de risque pour les entreprises de toutes tailles. Les recommandations habituelles - mise à jour et correction des systèmes, segmentation des réseaux, permis de vérification et télémétrie, et formation des équipes - demeurent les plus efficaces pour réduire la surface d'attaque.
Pour les responsables de la sécurité et pour toute organisation ayant des biens essentiels, cet incident rappelle la nécessité de maintenir une stratégie globale : outils de détection et d'intervention, contrôles d'accès stricts, sauvegarde prouvée et capacité d'intervention adaptée. Les menaces ne sont pas seulement recyclées; elles sont réinventées avec de nouvelles pièces telles que POORTRY et les chaînes d'exfiltration aux services cloud, de sorte que la défense doit être adaptée à la même vitesse. Si vous souhaitez examiner les rapports techniques et les analyses mentionnés dans cet article, vous pouvez consulter le rapport partagé par Broadcom / Symantec et l'analyse publique des acteurs et des campagnes dans des sources spécialisées telles que Security.com / Broadcom, ReliaQuest et études Unité 42 et Coveware pour approfondir les tendances les plus récentes.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...