新たに発見されたランサムウェアファミリー「Osiris」は、2025年11月に東南アジアの大手フードサービス・フランチャイズ加盟企業を標的にしました。
2016年のLockyランサムウェア亜種と同名であるものの、セキュリティ研究者は、これは前身とは無関係な全く新しい脅威であると確認しています。
ただし、証拠からは、過去にIncランサムウェアの活動に関与していた脅威アクターとの潜在的な関連が示唆されています。
攻撃者はキャンペーン全体を通じて、Living off the Landバイナリ(LOLBins)およびデュアルユースツールを広範に使用しました。
特に、侵害されたシステム上のセキュリティソフトを無効化するため、Bring Your Own Vulnerable Driver(BYOVD)攻撃で悪性のPoortryドライバーを悪用しました。
SymantecおよびCarbon Black Threat Hunter Teamの調査は、Osirisが開発者不明で運用体制も不透明な、独自のランサムウェアファミリーであることを明らかにしました。
調査の過程で、Incランサムウェアの運用と戦術面で複数の重複が確認されました。攻撃者は盗んだデータをWasabiのクラウドストレージ・バケットへ流出させましたが、これは2025年10月のIncランサムウェア攻撃でも観測されていた手口です。
さらに、脅威アクターは、Incランサムウェア運用者が以前使用していたのと同一のファイル名「kaz.exe」でMimikatzを展開しており、戦術の模倣、または元Incアフィリエイトの直接関与を示唆しています。
ランサムウェアの技術的能力
Osirisは、サービス停止、特定フォルダーおよびファイル拡張子の選択的暗号化、プロセス強制終了、身代金メモの配置など、標準的なランサムウェア機能を備えています。
このマルウェアは、カスタマイズされた動作のために複数のコマンドライン・パラメータを受け付けます。具体的には、ログファイルの指定、暗号化対象のファイル/ディレクトリパス、設定削除を伴うHyper-V VMの無効化、VM単位でのスキップ、部分(「head」)または完全(「full」)暗号化の選択です。
ランサムウェアは、実行ファイル(.exe、.dll、.msi)、メディアファイル(.mp4、.mp3、.mov、.avi)、システムファイル(.sys、.inf)などの特定ファイル種別、およびWindows、PerfLogs、ProgramData、System Volume Informationといった重要なWindowsディレクトリを暗号化対象から戦略的に除外します。
暗号化完了後、Osirisは影響を受けたファイルにOsiris拡張子を付与し、Volume Shadow Copy Service(VSS)を用いてシステムスナップショットを削除します。
Osirisは、SQL、Oracle、MySQLなどのデータベース、およびMicrosoft Officeアプリケーション(Excel、Word、Outlook、PowerPoint)、通信ツール(Firefox、Thunderbird)、システムサービスを含む、生産性アプリケーションのプロセスを終了させます。
このランサムウェアは、楕円曲線暗号(ECC)とAES-128-CTRを組み合わせたハイブリッド暗号方式を実装しています。暗号化される各ファイルには固有のAESキーが割り当てられ、暗号化処理中の非同期入出力要求はcompletionIOPortが管理します。
また、VSS、SQLサービス、Microsoft Exchange、VeeamやGxVssを含むバックアップソリューションなどの重要サービスも停止します。
被害者には「Osiris-MESSAGE.txt」というタイトルの身代金メモが渡され、盗難データの主張と交渉用チャットリンクが含まれます。
ランサムウェア展開の数日前、攻撃者がRcloneを使用してWasabiのクラウドストレージ・バケットへデータを流出させた際に、初期の不審な活動が確認されました。
脅威アクターは、ネットワーク偵察用のNetscan、横展開用のNetexec、リモートアクセス用のMeshAgentなど、複数のデュアルユースツールを展開しました。
特に攻撃者は、Rustdeskのリモート監視・管理ツールをカスタマイズし、検知回避のためWinZipのアイコンを含む「WinZip Remote Desktop」に偽装して使用しました。
攻撃者は、Malwarebytesのアンチエクスプロイト・ドライバーに偽装したAbyssworker/Poortry悪性ドライバーを展開し、セキュリティソフト無効化のためのBYOVD攻撃を実行しました。
GoogleのMandiantは2022年にPoortryを初めて文書化し、その後2024年および2025年を通じてMedusaランサムウェアのキャンペーンで使用されたことが確認されています。Poortryは通常、Stonestopローダーと併用され、ローダーがドライバーをインストールし、被害者マシン上での動作を指示します。
BYOVDは現在、ランサムウェア運用者の間で最も一般的な防御妨害手法です。
攻撃者は通常、カーネルモードで動作する署名済みの脆弱ドライバーを展開し、権限昇格、セキュリティソフトの停止、プロセス妨害を可能にします。
Poortryは従来のBYOVDドライバーとは異なり、攻撃者が悪用目的で特別に開発し、正規のコード署名の取得にも成功したことを示す証拠があります。多くのBYOVD攻撃は、カスタム開発の悪性ドライバーではなく、既存の正規の脆弱ドライバーを悪用します。
攻撃者はさらに、脆弱ドライバーを展開してセキュリティプロセスを終了させるための専用ツールKillAVを使用し、永続的なリモートアクセス能力のためにリモートデスクトッププロトコル(RDP)を有効化しました。
Osirisランサムウェアがより広範な脅威環境に与える影響の全容は、依然として不明です。しかし、このマルウェアは、経験豊富な運用者によって行使される有効な暗号化能力を示しています。
特にWasabiクラウドストレージの利用や、同一のMimikatz展開パターンといったIncランサムウェア運用との戦術的重複は、当該グループまたはそのアフィリエイトとの潜在的なつながりを示しています。
翻訳元: https://gbhackers.com/osiris-ransomware/
