Em novembro de 2025, uma grande empresa operadora de franquias de serviços de alimentação no sudeste asiático foi atingida por uma nova família de ransomware que os especialistas nomearam como Osiris. Embora partilhe nome com uma variante antiga relacionada ao Locky, esta versão não guarda relação técnica com aquele malware de 2016: trata-se de uma ameaça nova em comportamento e código, detectada pela equipe de Threat Hunting da Symantec e Carbon Black (Broadcom). Para entender por que este incidente desperta tanta atenção deve ser fixado tanto na sofisticação da criptografia como na cadeia de ferramentas e técnicas prévias à criptografia.
Um dos elementos mais marcantes do ataque foi o uso de um driver malicioso denominado POORTRY. Em vez de reutilizar um controlador legítimo mas vulnerável — a prática conhecida como "bring your own vulnerável driver" (BYOVD)— POORTRY parece ter sido criado ad hoc para elevar privilégios e desactivar soluções de segurança. Essa tática facilita que o atacante desactive processos defensivos sem depender de drivers legítimos com falhas conhecidas; uma variação que complica a detecção e a resposta. O relatório da Broadcom/Carbon Black também comenta a utilização de uma ferramenta chamada KillAV e a ativação do RDP no ambiente comprometido, medidas que ajudam a defender o controle remoto e a neutralizar contramedidas.
Antes que a encriptação entrasse em ação os intrusos trouxeram informações sensíveis usando Rclone e voaram em um bucket de armazenamento na nuvem Wasabi. Esse padrão —exfiltração prévia à cifra — é cada vez mais habitual: a ameaça já não é apenas que os dados inacessíveis pela criptografia, mas também possam ser filtrados publicamente como pressão adicional para pagar o resgate. Nesse caso, também se identificou o uso de uma versão de Mimikatz cujo executável levava o mesmo nome de arquivo (kaz.exe) que tinha sido observado em incidências ligadas ao INC ransomware, sugerindo possíveis conexões entre operadores ou reutilização de ferramentas.
Do ponto de vista técnico, Osiris foi descrito como criptografia eficaz e flexível. Use um esquema híbrido de criptografia e gera chaves diferentes para cada arquivo, o que complica a recuperação sem a chave privada correspondente. Além disso, permite parar serviços concretos, selecionar pastas e extensões a cifrar, forçar o fechamento de processos e deixar uma nota de resgate. Por defeito tenta fechar uma longa lista de serviços e processos relacionados com suites ofimáticas, servidores de e-mail, navegadores e soluções de backups e cópias em volume - e ainda mais a equipamentos de recuperação e continuidade.
A intrusão também mostrou uso intenso de ferramentas duales e de administração remota: a partir de scanners e utilitários para executar comandos remotos até agentes de acesso legítimos adaptados ou personalizados, como uma versão modificada de Rustdesk. Esses utilitários, válidos em mãos defensivas, tornam-se ferramentas de ataque quando operadores com privilégios os utilizam para se mover lateralmente, coletar credenciais e implantar cargas maliciosas. O padrão observado neste incidente - o conhecimento interno, o ex-filtração à nuvem, o emprego de drivers para desactivar a segurança e, finalmente, a implantação da encriptação - encaixa com cadeias de ataque modernas bem coordenadas.
O panorama geral de 2025 mostra que o ransomware continua sendo uma ameaça persistente e em evolução. Os dados de vazamento publicados por grupos de extorsão registraram milhares de vítimas, com um ligeiro aumento homóloga, e atores bem conhecidos continuam operando, mutando ou asseando entre si. Grupos como Akira, LockBit e outros mostraram táticas recentes que vão desde a exploração de vulnerabilidades e a carga lateral mediante loaders até o uso de drivers vulneráveis para contornar defesas. Se você quer aprofundar algumas dessas campanhas e técnicas, há análises públicas detalhadas de empresas como Palo Alto Unit 42 sobre novas famílias, ou de Coveware sobre falhas em implementações criptográficas que convertem certos ataques em perda definitiva de dados: Análise de Sicarii, Documentação de 01flip e a descrição da incidência com o Obscura que gerou perda irreversível de arquivos por falha no processo de criptografia, segundo Coveware.
Da perspectiva defensiva há lições claras. Limitar o acesso remoto e aplicar autenticação multifator são medidas básicas, mas eficazes, especialmente para serviços como o RDP que foram repetidamente explorados. É igualmente importante monitorizar o uso de ferramentas legítimas de administração e forense dentro da rede, e contar com políticas de allowlisting que reduzam a execução não autorizada de binários. Contar com cópias de segurança off-site e imutávels e praticar planos de recuperação também reduz as opções do atacante e permite à organização recuperar sem ceder à extorsão.
Além da resposta técnica, o caso Osiris lembra que a extorsão por dados evoluiu: a cifra pode ser apenas uma parte do esquema coercitivo. A filtragem de informações, a divulgação pública de dados roubados e a combinação de ameaças criptográficas e não criptográficas Alargam o quadro de risco para empresas de todas as dimensões. As recomendações habituais —atualizar e parchar sistemas, segmentar redes, auditar licenças e telemetria, e educar as equipes — permanecem as mais eficazes para reduzir a superfície de ataque.
Para os responsáveis pela segurança e para qualquer organização com ativos críticos, este incidente fornece um lembrete sobre a necessidade de manter uma estratégia abrangente: ferramentas de detecção e resposta, controles de acesso rigorosos, cópias de segurança comprovadas e capacidade de resposta a incidentes afinados. As ameaças não só são recicladas; são reinventadas com novas peças como POORTRY e cadeias de exfiltração a serviços na nuvem, pelo que a defesa deve ser adaptada com a mesma rapidez. Se quiser rever os relatórios e análises técnicas referidos neste artigo, consulte o relatório partilhado pela Broadcom/Symantec e as análises públicas de atores e campanhas em fontes especializadas como Security.com/Broadcom, ReliaQuest e estudos Unit 42 e Coveware para aprofundar as tendências mais recentes.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...