Osiris adlı yeni keşfedilen bir fidye yazılımı ailesi, Kasım 2025’te Güneydoğu Asya’daki büyük bir gıda hizmeti şirketine saldırılar başlattı.
Güvenlik araştırmacıları, bu tehdidin, 2016 yılında aynı adı paylaşan daha eski bir fidye yazılımı ailesiyle bağlantısı olmayan, tamamen yeni bir kötü amaçlı yazılım türü olduğunu belirledi.
Osiris’in ortaya çıkışı, kritik altyapıyı ve iş operasyonlarını hedef alan, sayıları giderek artan karmaşık şifreleme tehditlerine bir yenisini daha işaret ediyor.
Saldırı kampanyası, genellikle deneyimli tehdit aktörleriyle ilişkilendirilen gelişmiş taktikleri gösteriyor.
Saldırganlar, kurbanın ağına sızmak, kalıcılık sağlamak ve fidye yazılımı yükünü dağıtmak için yasal sistem araçlarını kötü amaçlı yardımcı programlarla birleştiren çeşitli bir araç setinden yararlandı.
Olay, modern siber suçluların, tespit edilmekten kaçınmak ve güvenlik kontrollerini atlatmak için özel geliştirilmiş kötü amaçlı yazılımların yanı sıra günlük Windows yardımcı programlarını da kötüye kullanarak nasıl çalıştığını ortaya koyuyor.
Symantec analistleri, daha önce belgelenen Inc fidye yazılımı kampanyalarıyla eşleşen şüpheli kalıpları keşfettikten sonra kötü amaçlı yazılımı tespit etti.
Araştırmacılar, kimlik bilgisi çıkarma araçları ve benzer veri sızdırma yöntemleri için aynı dosya adlarını içeren teknik çakışmalara dikkat çekti. Saldırganlar, şifrelemeden önce verileri çalmak ve çalınan bilgileri Wasabi bulut depolama paketlerine yüklemek için Rclone’u kullandı.
Kimlik bilgilerini çıkarmak için iyi bilinen bir araç olan Mimikatz’ı, özellikle önceki Inc saldırganlarının kullandığı kaz.exe adlı bir sürümü kullanarak kullandılar.
Kötü Amaçlı Sürücülerin İstismarı ve Savunma Bypass’ı
Bu saldırının en endişe verici yönü, Abyssworker olarak da bilinen Poortry adlı kötü amaçlı bir sürücünün konuşlandırılmasını içeriyor. Bu özel sürücü, yöneticileri kandırmak için meşru Malwarebytes yazılımı gibi davrandı.
Saldırganlar bu sürücüyü, güvenlik uzmanlarının kendi güvenlik açığı olan sürücünüzü getir (BYOVD) saldırısı olarak adlandırdığı saldırıda kullandı ve çekirdek düzeyindeki erişimden yararlanarak güvenlik yazılımını devre dışı bırakmalarına olanak sağladı.
BYOVD saldırıları, uç nokta savunmalarını etkisiz hale getirmek isteyen fidye yazılımı operatörlerinin tercih ettiği teknik haline geldi.
Saldırganlar, imzalı savunmasız sürücüleri dağıtarak ayrıcalıkları yükseltebilir ve anında şüphe uyandırmadan güvenlik süreçlerini sonlandırabilir.
Poortry öne çıkıyor çünkü saldırganlar bu sürücüyü mevcut savunmasız koda güvenmek yerine kendileri geliştirdiler ve bu da tehdit grubu içinde karmaşıklık olduğunu gösteriyor.
Saldırganlar ayrıca ağ erişimini sürdürmek için Netexec, Netscan ve Rustdesk uzaktan yönetim yazılımının WinZip kılığına girmiş değiştirilmiş bir sürümü gibi ek araçlar da kullandı.
Osiris, dosyaları her şifrelenmiş dosya için benzersiz anahtarlarla ECC ve AES-128-CTR’yi birleştiren gelişmiş hibrit şifrelemeyi kullanarak şifreler.
Fidye yazılımı, kurtarmayı önlemek için birim anlık görüntülerini silerek veritabanlarını ve yedekleme hizmetlerini sonlandırır. Bu teknik yetenekler, gelişmiş saldırı zinciriyle birleştiğinde, bu yeni tehdit ailesinin arkasında deneyimli operatörlerin olduğunu gösteriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
