Nieuwe Osiris-ransomware duikt op als nieuwe soort met behulp van POORTRY-stuurprogramma in BYOVD-aanval

Cyberbeveiliging
Nieuwe Osiris-ransomware duikt op als nieuwe soort met behulp van POORTRY-stuurprogramma in BYOVD-aanval

Cybersecurity-onderzoekers hebben details bekendgemaakt van een nieuwe ransomware-familie genaamd Osiris die zich in november 2025 richtte op een grote franchisenemer in de foodservice in Zuidoost-Azië.

Bij de aanval werd gebruik gemaakt van een kwaadaardig stuurprogramma genaamd POORTRY, als onderdeel van een bekende techniek die ‘bring your own vulnerability driver’ (BYOVD) wordt genoemd om beveiligingssoftware uit te schakelen, aldus het Symantec en Carbon Black Threat Hunter Team.

Het is vermeldenswaard dat Osiris wordt beoordeeld als een gloednieuwe ransomware-soort, die geen overeenkomsten vertoont met een andere variant met dezelfde naam die in december 2016 opdook als een herhaling van de Locky-ransomware. Het is momenteel niet bekend wie de ontwikkelaars van het kluisje zijn en of het wordt geadverteerd als ransomware-as-a-service (RaaS).

De cybersecurity-divisie van Broadcom zei echter aanwijzingen te hebben gevonden die erop wijzen dat de bedreigingsactoren die de ransomware hebben ingezet, mogelijk eerder in verband zijn gebracht met de INC-ransomware (ook bekend als Warble).

“Bij deze aanval werd gebruik gemaakt van een breed scala aan middelen die van het land leefden en voor tweeërlei gebruik, evenals een kwaadaardige POORTRY-driver, die waarschijnlijk werd gebruikt als onderdeel van een ‘bring your own vulnerability driver’-aanval (BYOVD) om beveiligingssoftware uit te schakelen”, aldus het bedrijf in een rapport gedeeld met The Hacker News.

“De exfiltratie van gegevens door de aanvallers naar Wasabi-buckets en het gebruik van een versie van Mimikatz die eerder werd gebruikt, met dezelfde bestandsnaam (kaz.exe), door aanvallers die de INC-ransomware inzetten, wijzen op mogelijke verbanden tussen deze aanval en sommige aanvallen waarbij INC betrokken is.”

Beschreven als een “effectieve encryptie-payload” die waarschijnlijk wordt gehanteerd door ervaren aanvallers, maakt Osiris gebruik van een hybride encryptieschema en een unieke encryptiesleutel voor elk bestand. Het is ook flexibel omdat het services kan stoppen, kan specificeren welke mappen en extensies moeten worden gecodeerd, processen kan beëindigen en een losgeldbrief kan achterlaten.

Standaard is het ontworpen om een ​​lange lijst met processen en services te vernietigen die onder meer verband houden met Microsoft Office, Exchange, Mozilla Firefox, WordPad, Notepad, Volume Shadow Copy en Veeam.

De eerste tekenen van kwaadwillige activiteit op het netwerk van het doelwit waren het exfiltreren van gevoelige gegevens met behulp van Rclone naar een Wasabi-cloudopslagbucket voorafgaand aan de ransomware-implementatie. Bij de aanval werden ook een aantal tools voor tweeërlei gebruik gebruikt, zoals Netscan, Netexec en MeshAgent, evenals een aangepaste versie van de externe desktopsoftware van Rustdesk.

POORTRY verschilt enigszins van traditionele BYOVD-aanvallen doordat het een op maat gemaakte driver gebruikt die specifiek is ontworpen voor het verhogen van bevoegdheden en het beëindigen van beveiligingstools, in tegenstelling tot het inzetten van een legitieme maar kwetsbare driver voor het doelnetwerk.

“KillAV, een tool die wordt gebruikt om kwetsbare stuurprogramma’s in te zetten voor het beëindigen van beveiligingsprocessen, werd ook ingezet op het netwerk van het doelwit”, aldus het Symantec en Carbon Black Threat Hunter Team. “RDP was ook ingeschakeld op het netwerk, waardoor de aanvallers waarschijnlijk externe toegang kregen.”

Deze ontwikkeling vindt plaats op het moment dat ransomware een aanzienlijke bedreiging voor ondernemingen blijft, waarbij het landschap voortdurend verandert, omdat sommige groepen hun deuren sluiten en andere snel uit hun as herrijzen of hun plaats innemen. Volgens een analyse van dataleksites door Symantec en Carbon Black claimden ransomware-actoren in 2025 in totaal 4.737 aanvallen, vergeleken met 4.701 in 2024, een stijging van 0,8%.

De meest actieve spelers van het afgelopen jaar waren Akira (ook bekend als Darter of Howling Scorpius), Qilin (ook bekend als Stinkbug of Water Galura), Play (ook bekend als Balloonfly), INC, SafePay, RansomHub (ook bekend als Greenbottle), DragonForce (ook bekend als Hackledorb), Sinobi, Rhysida en CACTUS. Enkele van de andere opmerkelijke ontwikkelingen in de ruimte worden hieronder opgesomd:

  • Bedreigingsactoren die de Akira-ransomware gebruiken, hebben een kwetsbaar Throttlestop-stuurprogramma gebruikt, samen met de Windows CardSpace User Interface Agent en Microsoft Media Foundation Protected Pipeline, om de Bumblebee-lader te sideloaden bij aanvallen die halverwege tot eind 2025 zijn waargenomen.
  • Akira-ransomwarecampagnes hebben ook SonicWall SSL VPN’s uitgebuit om kleine tot middelgrote bedrijfsomgevingen te doorbreken tijdens fusies en overnames en uiteindelijk toegang te krijgen tot de grotere, overnemende ondernemingen. Er is ontdekt dat een andere Akira-aanval gebruik maakt van CAPTCHA-verificatie in ClickFix-stijl om een ​​.NET trojan voor externe toegang, genaamd SectopRAT, te droppen, die dient als kanaal voor afstandsbediening en ransomware-levering.
  • LockBit (ook bekend als Syrphid), dat in oktober 2025 samenwerkte met DragonForce en Qilin, is zijn infrastructuur blijven onderhouden ondanks een wetshandhavingsoperatie om zijn activiteiten begin 2024 stop te zetten. Het heeft ook varianten van LockBit 5.0 uitgebracht die gericht zijn op meerdere besturingssystemen en virtualisatieplatforms. Een belangrijke update van LockBit 5.0 is de introductie van een tweetraps ransomware-implementatiemodel dat de lader scheidt van de hoofdlading, terwijl tegelijkertijd ontwijking, modulariteit en destructieve impact worden gemaximaliseerd.
  • Een nieuwe RaaS-operatie genaamd Sicarii heeft slechts één slachtoffer geëist sinds deze eind 2025 voor het eerst opdook. Hoewel de groep zichzelf expliciet identificeert als Israëlisch/Joods, heeft analyse blootgelegd dat ondergrondse online activiteiten voornamelijk in het Russisch worden uitgevoerd en dat de Hebreeuwse inhoud die door de bedreigingsacteur wordt gedeeld grammaticale en semantische fouten bevat. Dit heeft de mogelijkheid van een valse vlagoperatie vergroot. De belangrijkste Sicarii-operator van Sicarii gebruikt het Telegram-account “@Skibcum.”
  • Er is waargenomen dat de dreigingsactor die bekend staat als Storm-2603 (ook bekend als CL-CRI-1040 of Gold Salem) gebruik maakt van de legitieme Velociraptor digital forensics and incident response (DFIR)-tool als onderdeel van voorloperactiviteiten die hebben geleid tot de inzet van Warlock, LockBit en Babuk-ransomware. Bij de aanvallen is ook gebruik gemaakt van twee stuurprogramma’s (“rsndispot.sys” en “kl.sys”) samen met “vmtools.exe” om beveiligingsoplossingen uit te schakelen met behulp van een BYOVD-aanval.
  • Entiteiten in India, Brazilië en Duitsland zijn het doelwit van Makop-ransomwareaanvallen die misbruik maken van blootgestelde en onveilige RDP-systemen om tools te ontwikkelen voor netwerkscans, escalatie van bevoegdheden, het uitschakelen van beveiligingssoftware, het dumpen van inloggegevens en het inzetten van ransomware. De aanvallen gebruiken naast het gebruik van de stuurprogramma’s “hlpdrv.sys” en “ThrottleStop.sys” voor BYOVD-aanvallen ook GuLoader om de ransomware-payload te leveren. Dit is het eerste gedocumenteerde geval waarin Makop via een lader wordt gedistribueerd.
  • Ransomware-aanvallen hebben ook initiële toegang verkregen met behulp van reeds gecompromitteerde RDP-inloggegevens om verkenningen, escalatie van bevoegdheden en laterale verplaatsing via RDP uit te voeren, gevolgd door het exfiltreren van gegevens naar tijdelijke (.)sh op dag zes van de inbraak en het inzetten van Lynx-ransomware drie dagen later.
  • Er is vastgesteld dat een beveiligingsfout in het encryptieproces van de Obscura-ransomware ervoor zorgt dat grote bestanden onherstelbaar zijn. “Wanneer het grote bestanden codeert, slaagt het er niet in de gecodeerde tijdelijke sleutel naar de voettekst van het bestand te schrijven”, aldus Coveware. “Voor bestanden groter dan 1 GB wordt die voettekst helemaal nooit aangemaakt, wat betekent dat de sleutel die nodig is voor decodering verloren gaat. Deze bestanden kunnen permanent niet meer worden hersteld.”
  • Een nieuwe ransomwarefamilie genaamd 01flip heeft zich gericht op een beperkt aantal slachtoffers in de regio Azië-Pacific. De ransomware is geschreven in Rust en kan zich zowel op Windows- als Linux-systemen richten. Aanvalsketens omvatten de exploitatie van bekende beveiligingsproblemen (bijvoorbeeld CVE-2019-11580) om voet aan de grond te krijgen in doelnetwerken. Het wordt toegeschreven aan een financieel gemotiveerde dreigingsactor, bekend als CL-CRI-1036.

Ter bescherming tegen gerichte aanvallen wordt organisaties geadviseerd om het gebruik van tools voor tweeërlei gebruik te monitoren, de toegang tot RDP-services te beperken, multi-factor authenticatie (2FA) af te dwingen, waar van toepassing een toelatingslijst voor applicaties te gebruiken en externe opslag van back-upkopieën te implementeren.

“Hoewel aanvallen waarbij ransomware wordt versleuteld nog steeds wijdverbreid zijn en nog steeds een bedreiging vormen, voegt de komst van nieuwe typen aanvallen zonder encryptie een extra risico toe, waardoor een breder afpersing-ecosysteem ontstaat waarvan ransomware slechts een onderdeel kan worden”, aldus Symantec en Carbon Black.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Uw Pixel-telefoon lekt mogelijk per ongeluk audio naar bellers

Het dynamische eiland van de iPhone 18 Pro gaat nergens naartoe, zo bevestigt het lek

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]