Yeni keşfedilen bir fidye yazılımı ailesi olan Osiris, Kasım 2025’te Güneydoğu Asya’daki büyük bir gıda hizmeti franchise sahibini hedef aldı.
2016 Locky fidye yazılımı varyantıyla aynı adı paylaşmasına rağmen, güvenlik araştırmacıları bunun selefiyle hiçbir bağlantısı olmayan tamamen yeni bir tehdit oluşturduğunu doğruladı.
Ancak kanıtlar, daha önce Inc’in fidye yazılımı operasyonlarıyla ilişkilendirilen tehdit aktörleriyle potansiyel bağlantıların olduğunu gösteriyor.
Saldırganlar, harekatları boyunca kapsamlı bir şekilde karasal ikili dosyalar (LOLBin’ler) ve çift kullanımlı araçlar kullandı.
Özellikle, güvenliği ihlal edilmiş sistemlerdeki güvenlik yazılımını kapatmak için kendi güvenlik açığı sürücünüzü getir (BYOVD) saldırısında kötü niyetli Poortry sürücüsünden yararlandılar.
Symantec ve Carbon Black Tehdit Avcısı Ekibi araştırması, Osiris’in bilinmeyen geliştiricilere ve belirsiz operasyonel yapıya sahip benzersiz bir fidye yazılımı ailesi olduğunu ortaya çıkardı.
Soruşturma sırasında Inc’in fidye yazılımı operasyonlarıyla çeşitli taktiksel örtüşmeler ortaya çıktı. Saldırganlar, daha önce Inc’in Ekim 2025’teki fidye yazılımı saldırılarında gözlemlenen bir teknik olan, çalınan verileri Wasabi bulut depolama paketlerine sızdırdı.
Ek olarak, tehdit aktörleri Mimikatz’ı Inc fidye yazılımı operatörlerinin daha önce kullandığı “kaz.exe” dosya adının aynısını kullanarak konuşlandırdı; bu da ya taktiksel bir öykünme ya da eski Inc bağlı şirketlerinin doğrudan müdahalesine işaret ediyor.
Fidye Yazılımı Teknik Yetenekleri
Osiris, hizmet sonlandırma, seçici klasör ve dosya uzantısı şifrelemesi, işlem sonlandırma ve fidye notu dağıtımı dahil olmak üzere standart fidye yazılımı işlevselliği sergiliyor.
Kötü amaçlı yazılım, özelleştirilmiş işlemler için birden fazla komut satırı parametresini kabul eder: günlük dosyası spesifikasyonu, dosya ve dizin yolu şifreleme hedefleri, yapılandırma silme ile Hyper-V VM’nin devre dışı bırakılması, VM’ye özel atlama ve kısmi (“baş”) veya tam (“tam”) dosya şifrelemesi arasında şifreleme modu seçimi.
Fidye yazılımı, yürütülebilir dosyalar (.exe, .dll, .msi), medya dosyaları (.mp4, .mp3, .mov, .avi), sistem dosyaları (.sys, .inf) ve Windows, PerfLogs, ProgramData ve System Volume Information gibi kritik Windows dizinleri dahil olmak üzere belirli dosya türlerini stratejik olarak şifrelemenin dışında bırakır.
Şifreleme tamamlandıktan sonra Osiris, Osiris uzantısını etkilenen dosyalara ekler ve Birim Gölge Kopyası Hizmeti’ni (VSS) kullanarak sistem anlık görüntülerini siler.
Osiris, SQL, Oracle, MySQL, Microsoft Office uygulamaları (Excel, Word, Outlook, PowerPoint), iletişim araçları (Firefox, Thunderbird) ve sistem hizmetleri dahil olmak üzere veritabanı ve üretkenlik uygulama süreçlerini sonlandırır.
Fidye yazılımı, Eliptik Eğri Şifrelemesini (ECC) AES-128-CTR ile birleştiren hibrit bir şifreleme şeması uyguluyor. Şifrelenen her dosya benzersiz bir AES anahtarı alırken, tamamlamaIOPort, şifreleme işlemleri sırasında eşzamansız giriş/çıkış isteklerini yönetir.
Kötü amaçlı yazılım ayrıca VSS, SQL hizmetleri, Microsoft Exchange gibi kritik hizmetleri ve Veeam ile GxVss gibi yedekleme çözümlerini de durdurur.
Kurbanlar, çalınan veri taleplerini ve müzakere sohbet bağlantısını içeren “Osiris-MESSAGE.txt” başlıklı bir fidye notu alıyor.
İlk şüpheli etkinlik, fidye yazılımının yayılmasından birkaç gün önce, saldırganların Rclone’u kullanarak verileri Wasabi bulut depolama paketlerine sızdırdığı sırada ortaya çıktı.
Tehdit aktörleri, ağ keşfi için Netscan, yanal hareket için Netexec ve uzaktan erişim için MeshAgent dahil olmak üzere çok sayıda çift kullanımlı araç kullandı.
Saldırganların, tespit edilmekten kaçınmak için WinZip ikonografisi ile tamamlanmış “WinZip Uzak Masaüstü” görünümüne dönüştürülmüş, özelleştirilmiş bir Rustdesk uzaktan izleme ve yönetim aracı kullandığı dikkat çekicidir.
Saldırganlar, güvenlik yazılımını devre dışı bırakmak amacıyla bir BYOVD saldırısı gerçekleştirmek için Malwarebytes istismara karşı koruma sürücüsü olarak gizlenen Abyssworker/Poortry kötü amaçlı sürücüsünü konuşlandırdı.
Google’ın Mandiant’ı Poortry’yi ilk olarak 2022’de belgeledi ve ardından 2024 ve 2025 yılları boyunca Medusa fidye yazılımı kampanyalarında kullanıldı. Poortry genellikle sürücüyü yükleyen ve eylemlerini kurban makinelere yönlendiren Stonestop yükleyiciyle birlikte çalışıyor.
BYOVD, şu anda fidye yazılımı operatörleri arasında en yaygın savunma bozma tekniğini temsil ediyor.
Saldırganlar genellikle çekirdek modu erişimiyle çalışan, ayrıcalık yükseltmeye, güvenlik yazılımının sonlandırılmasına ve sürecin kesintiye uğramasına olanak tanıyan imzalı güvenlik açığı bulunan sürücüleri dağıtır.
Poortry, geleneksel BYOVD sürücülerinden farklıdır; çünkü kanıtlar, saldırganların bunu özellikle kötü amaçlarla geliştirdiğini ve yasal kod imzalamayı başarıyla elde ettiğini göstermektedir. BYOVD saldırılarının çoğu, özel geliştirilmiş kötü amaçlı sürücülerden ziyade mevcut meşru, savunmasız sürücülerden yararlanır.
Saldırganlar ayrıca güvenlik süreçlerini sonlandırmak için savunmasız sürücüleri dağıtmaya yönelik özel bir araç olan KillAV’ı da kullandı ve kalıcı uzaktan erişim özelliği için Uzak Masaüstü Protokolünü (RDP) etkinleştirdi.
Osiris fidye yazılımının daha geniş tehdit ortamı üzerindeki tam etkisi belirsizliğini koruyor. Ancak kötü amaçlı yazılım, deneyimli operatörler tarafından kullanılan etkili şifreleme yeteneklerini gösteriyor.
Inc fidye yazılımı operasyonlarıyla taktiksel örtüşmeler, özellikle Wasabi bulut depolama kullanımı ve aynı Mimikatz dağıtım modelleri, bu grupla veya bağlı kuruluşlarıyla olası bağlantıları gösterir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.