Khi driver trở thành vũ khí, Osiris mở màn cho thế hệ ransomware mới

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
124
1.526 bài viết
Khi driver trở thành vũ khí, Osiris mở màn cho thế hệ ransomware mới
WhiteHat Team
Cuối năm 2025, một chuỗi nhượng quyền dịch vụ thực phẩm lớn tại Đông Nam Á đã trở thành nạn nhân của một dòng ransomware hoàn toàn mới mang tên Osiris. Theo công bố từ nhóm nghiên cứu Symantec và Carbon Black Threat Hunter Team, đây là một chiến dịch tấn công có chủ đích, được triển khai bài bản và cho thấy dấu hiệu của các tác nhân giàu kinh nghiệm trong hệ sinh thái ransomware hiện nay.
1769152171709.png

Osiris được đánh giá là một biến thể mới, không có mối liên hệ kỹ thuật với Osiris từng xuất hiện năm 2016 như một nhánh của Locky. Danh tính nhóm phát triển đứng sau vẫn chưa được xác định, cũng chưa rõ ransomware này có được vận hành theo mô hình ransomware as a service hay không. Tuy vậy, các nhà nghiên cứu đã phát hiện nhiều dấu vết cho thấy mối liên hệ tiềm tàng với INC ransomware, còn được biết đến với tên Warble.

Trọng tâm của chiến dịch nằm ở việc tin tặc sử dụng driver độc hại có tên POORTRY để triển khai
kỹ thuật lợi dụng driver tồn tại lỗ hổng (BYOVD) nhằm vô hiệu hóa các giải pháp bảo mật. Khác với mô hình BYOVD truyền thống vốn dựa vào các driver hợp pháp nhưng tồn tại lỗ hổng, POORTRY là một driver được thiết kế riêng với mục đích nâng cao đặc quyền và trực tiếp chấm dứt các tiến trình bảo vệ. Driver này được triển khai cùng công cụ KillAV, vốn chuyên dùng để tải và lợi dụng driver nhằm triệt tiêu phần mềm an ninh ở cấp độ hệ thống.

Theo phân tích kỹ thuật, Osiris sử dụng cơ chế mã hóa lai với khóa riêng cho từng tệp, cho phép kẻ tấn công kiểm soát linh hoạt phạm vi và mức độ tác động. Mã độc có khả năng dừng dịch vụ, chỉ định thư mục và phần mở rộng cần mã hóa, kết thúc tiến trình và thả thông báo đòi tiền chuộc. Ở cấu hình mặc định, Osiris nhắm đến hàng loạt tiến trình và dịch vụ phổ biến như Microsoft Office, Exchange, Firefox, WordPad, Notepad, Volume Shadow Copy và Veeam nhằm tối đa hóa mức độ gián đoạn hoạt động của nạn nhân.

Trước khi kích hoạt giai đoạn mã hóa, tin tặc đã tiến hành đánh cắp dữ liệu bằng công cụ Rclone và tải dữ liệu nhạy cảm lên các bucket lưu trữ đám mây Wasabi. Đây là dấu hiệu rõ ràng của mô hình tống tiền kép, trong đó việc rò rỉ dữ liệu được sử dụng như đòn bẩy gây áp lực ngay cả khi nạn nhân có khả năng khôi phục hệ thống từ bản sao lưu. Quá trình xâm nhập còn ghi nhận việc sử dụng nhiều công cụ lưỡng dụng như Netscan, Netexec, MeshAgent cùng một phiên bản tùy biến của phần mềm điều khiển từ xa Rustdesk để duy trì quyền kiểm soát và di chuyển trong mạng nội bộ. Dịch vụ RDP cũng được kích hoạt, nhiều khả năng nhằm tạo kênh truy cập từ xa ổn định cho các giai đoạn tiếp theo của cuộc tấn công.

Một chi tiết đáng chú ý khác là việc sử dụng công cụ Mimikatz với tên tệp kaz.exe, trùng khớp với cách triển khai từng được quan sát trong các chiến dịch của INC ransomware. Kết hợp với hạ tầng exfiltration và bộ công cụ quen thuộc, những dấu hiệu này củng cố nhận định rằng Osiris có thể là sản phẩm mới của các tác nhân từng tham gia hoặc có liên hệ mật thiết với nhóm INC.

Sự xuất hiện của Osiris diễn ra trong bối cảnh ransomware tiếp tục là mối đe dọa nghiêm trọng đối với doanh nghiệp trên toàn cầu. Theo thống kê từ Symantec và Carbon Black dựa trên dữ liệu từ các trang rò rỉ, các nhóm ransomware đã tuyên bố tổng cộng 4.737 vụ tấn công trong năm 2025, tăng nhẹ so với 4.701 vụ của năm 2024. Những cái tên hoạt động sôi nổi nhất bao gồm Akira, Qilin, Play, INC, SafePay, RansomHub, DragonForce, Sinobi, Rhysida và CACTUS, phản ánh một hệ sinh thái không ngừng biến động khi các nhóm cũ tan rã và những cái tên mới nhanh chóng lấp chỗ trống.

Các nhà nghiên cứu cảnh báo rằng xu hướng lạm dụng công cụ hợp pháp, driver cấp thấp và kỹ thuật BYOVD đang ngày càng phổ biến, làm mờ ranh giới giữa hoạt động quản trị hệ thống thông thường và hành vi tấn công. Để giảm thiểu rủi ro trước các chiến dịch ransomware có mức độ tinh vi ngày càng cao, các tổ chức được khuyến nghị triển khai đồng thời nhiều biện pháp phòng vệ:​
  • Giám sát chặt chẽ việc sử dụng các công cụ lưỡng dụng thường xuất hiện trong giai đoạn xâm nhập và mở rộng tấn công.​
  • Hạn chế tối đa việc phơi bày dịch vụ RDP ra Internet, đồng thời áp dụng các cơ chế bảo vệ bổ sung cho những hệ thống buộc phải sử dụng truy cập từ xa.​
  • Triển khai xác thực đa yếu tố cho các tài khoản đặc quyền và các điểm truy cập nhạy cảm trong hạ tầng.​
  • Áp dụng cơ chế kiểm soát ứng dụng nhằm ngăn chặn việc thực thi các thành phần không được phép, đặc biệt là driver và công cụ cấp thấp.​
  • Duy trì các bản sao lưu dữ liệu ngoại tuyến, tách biệt khỏi hệ thống sản xuất để đảm bảo khả năng khôi phục khi xảy ra sự cố ransomware.​
Osiris phản ánh rõ sự thay đổi trong tư duy tấn công của các nhóm ransomware hiện đại, khi khả năng vô hiệu hóa phòng thủ và kiểm soát hạ tầng trở thành yếu tố then chốt trước cả giai đoạn mã hóa. Điều này đặt ra thách thức lớn cho doanh nghiệp, buộc các chiến lược phòng thủ phải dịch chuyển xuống tầng driver, quyền đặc quyền và hành vi sử dụng công cụ, thay vì chỉ tập trung vào mã độc ở lớp bề mặt.​

Theo The Hacker News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • YouTube cho phép phụ huynh chặn hoàn toàn video ngắn khiến trẻ em dễ nghiện
  • Camera TP-Link VIGI dính lỗi nghiêm trọng khiến tin tặc có thể tự đổi mật khẩu
  • Target đóng Server DEV sau khi hacker rao bán 860GB mã nguồn nội bộ
  • Ni8mare: Lỗ hổng nghiêm trọng khiến hơn 100.000 hệ thống n8n có nguy cơ bị chiếm quyền
  • Hàng loạt website đối mặt nguy cơ bị chiếm quyền khi PoC lỗ hổng Atarim được công bố
  • SmarterMail dính lỗ hổng RCE 10 điểm, cho phép chiếm quyền điều khiển máy chủ từ xa
    • Thẻ
    byovd osiris ransomware
    Bên trên