Investigadores detectan una nueva cepa que comparte nombre con el dios egipcio de la muerte, utilizando controladores vulnerables (BYOVD) y herramientas administrativas comunes para burlar la seguridad moderna.
El nombre “Osiris” evoca recuerdos del infame ransomware Locky de 2016, pero la amenaza que ha surgido esta semana no es un fantasma del pasado; es una evolución letal. Según reportes una nueva familia de ransomware ha adoptado este nombre para lanzar ataques dirigidos de alta complejidad en el Sudeste Asiático y EE. UU.
Lo que distingue a este nuevo “Osiris” no es solo su cifrado, sino su “Caja de Herramientas”: los atacantes están utilizando una cantidad abrumadora de software legítimo y de doble uso para moverse por la red sin ser detectados, convirtiendo las propias herramientas de administración en armas contra la víctima.
La Estrategia: “Living off the Land” al Extremo
El ataque analizado, que comprometió a una importante franquicia de servicios de alimentos en noviembre de 2025, reveló un uso extensivo de técnicas LotL (Living off the Land). En lugar de descargar malware ruidoso, los atacantes utilizaron herramientas que ya existen o son comunes en entornos de TI:
- Reconocimiento y Movimiento Lateral: Utilizaron Netscan y Netexec para mapear la red, y Advanced IP Scanner para identificar objetivos valiosos.
- Acceso Remoto: Desplegaron versiones personalizadas de RustDesk, AnyDesk y el agente MeshAgent. Al usar software de soporte remoto legítimo, el tráfico malicioso se mezcla con el soporte técnico normal, cegando a muchos equipos de seguridad.
- Credenciales: Se observó el uso de una versión de Mimikatz previamente asociada con el grupo de ransomware Inc, lo que sugiere posibles conexiones o código compartido entre bandas.
El As Bajo la Manga: Ataque BYOVD
Para neutralizar las defensas, Osiris emplea una técnica avanzada conocida como “Bring Your Own Vulnerable Driver” (BYOVD).
- El Arma: Los atacantes instalan un controlador legítimo pero vulnerable, conocido como POORTRY.
- El Efecto: Al explotar este controlador firmado digitalmente (que Windows confía por defecto), logran privilegios a nivel de kernel para matar los procesos de antivirus y EDR que normalmente bloquearían el ataque.
Impacto y Cifrado
Una vez que la seguridad está ciega y el acceso remoto asegurado, Osiris despliega su carga útil final.
- Cifrado Híbrido: Utiliza una combinación robusta de cifrado AES-128-CTR y ECC (Curva Elíptica), haciendo imposible la recuperación de archivos sin la clave privada.
- Limpieza de Rastros: El malware está programado para detener una lista extensa de servicios (Microsoft Exchange, bases de datos SQL, Veeam Backup) y eliminar las Shadow Copies de Windows para impedir la recuperación simple.
- Extensión: Los archivos afectados son renombrados con la extensión .osiris.
Conexiones con el Crimen Organizado
Aunque comparte el nombre con la antigua variante de Locky, los investigadores evalúan que este es un actor distinto. Sin embargo, las similitudes tácticas (uso de herramientas de exfiltración como Rclone hacia buckets de Wasabi y herramientas de hacking específicas) apuntan a que podrían ser afiliados experimentados que han trabajado anteriormente con operaciones como BlackCat o Inc Ransomware.
Recomendaciónes
- Control de Aplicaciones: Bloquea la ejecución de herramientas de administración remota (RMM) como AnyDesk o RustDesk si no son el estándar de tu empresa.
- Protección de Drivers: Activa la regla de “Bloqueo de lista de vulnerabilidades de controladores recomendada por Microsoft” en Windows Defender o tu EDR para prevenir ataques BYOVD.
- Monitoreo de Comportamiento: Configura alertas para detectar el uso de comandos como vssadmin delete shadows o la ejecución de escáneres de red desde estaciones de trabajo no autorizadas.
