Các nhà nghiên cứu an ninh mạng đã công bố chi tiết về một họ ransomware mới có tên Osiris đã nhắm mục tiêu vào một nhà điều hành nhượng quyền dịch vụ thực phẩm lớn ở Đông Nam Á vào tháng 11 năm 2025.
Cuộc tấn công đã tận dụng một driver độc hại có tên POORTRY như một phần của kỹ thuật được gọi là bring your own vulnerable driver (BYOVD) để vô hiệu hóa phần mềm bảo mật, theo nhóm Symantec và Carbon Black Threat Hunter Team.
Điều đáng chú ý là Osiris được đánh giá là một biến thể ransomware hoàn toàn mới, không chia sẻ bất kỳ điểm tương đồng nào với một biến thể khác cùng tên Osiris xuất hiện vào tháng 12 năm 2016 như một phiên bản của Locky ransomware. Hiện tại vẫn chưa rõ ai là nhà phát triển của mã độc này, hoặc liệu nó có được quảng cáo dưới dạng ransomware-as-a-service (RaaS) hay không.
Tuy nhiên, bộ phận an ninh mạng thuộc Broadcom cho biết họ đã xác định được những manh mối cho thấy các tác nhân đe dọa triển khai ransomware này có thể đã từng liên kết với INC ransomware (còn gọi là Warble).
"Một loạt các công cụ living off the land và dual-use đã được sử dụng trong cuộc tấn công này, cũng như driver độc hại POORTRY, có khả năng được sử dụng như một phần của cuộc tấn công bring your own vulnerable driver (BYOVD) để vô hiệu hóa phần mềm bảo mật," công ty cho biết trong một báo cáo được chia sẻ với The Hacker News.
"Việc các kẻ tấn công đánh cắp dữ liệu đến các Wasabi buckets, và việc sử dụng một phiên bản Mimikatz đã được sử dụng trước đây, với cùng tên tệp (kaz.exe), bởi các kẻ tấn công triển khai INC ransomware, cho thấy các liên kết tiềm năng giữa cuộc tấn công này và một số cuộc tấn công liên quan đến INC."
Được mô tả là một "encryption payload hiệu quả" mà nhiều khả năng được sử dụng bởi các kẻ tấn công có kinh nghiệm, Osiris sử dụng một lược đồ mã hóa hybrid và một khóa mã hóa duy nhất cho mỗi tệp. Nó cũng linh hoạt ở chỗ có thể dừng các dịch vụ, chỉ định các thư mục và phần mở rộng cần được mã hóa, chấm dứt các tiến trình, và thả một ransom note.
Theo mặc định, nó được thiết kế để kết thúc một danh sách dài các tiến trình và dịch vụ liên quan đến Microsoft Office, Exchange, Mozilla Firefox, WordPad, Notepad, Volume Shadow Copy và Veeam, cùng nhiều ứng dụng khác.
Những dấu hiệu đầu tiên của hoạt động độc hại trên mạng lưới của mục tiêu liên quan đến việc đánh cắp dữ liệu nhạy cảm bằng cách sử dụng Rclone tới một Wasabi cloud storage bucket trước khi triển khai ransomware. Các công cụ dual-use khác cũng được sử dụng trong cuộc tấn công bao gồm Netscan, Netexec và MeshAgent, cũng như một phiên bản tùy chỉnh của phần mềm remote desktop Rustdesk.
POORTRY hơi khác so với các cuộc tấn công BYOVD truyền thống ở chỗ nó sử dụng một driver được thiết kế riêng biệt để nâng cao đặc quyền và chấm dứt các công cụ bảo mật, thay vì triển khai một driver hợp pháp nhưng dễ bị tổn thương vào mạng lưới mục tiêu.
"KillAV, một công cụ được sử dụng để triển khai các driver dễ bị tổn thương nhằm chấm dứt các tiến trình bảo mật, cũng đã được triển khai trên mạng lưới của mục tiêu," nhóm Symantec và Carbon Black Threat Hunter Team lưu ý. "RDP cũng đã được kích hoạt trên mạng, có khả năng để cung cấp quyền truy cập từ xa cho các kẻ tấn công."
Sự phát triển này diễn ra trong bối cảnh ransomware vẫn là một mối đe dọa doanh nghiệp đáng kể, với bối cảnh liên tục thay đổi khi một số nhóm đóng cửa và những nhóm khác nhanh chóng trỗi dậy từ tro tàn hoặc thay thế. Theo phân tích dữ liệu từ các trang web rò rỉ dữ liệu của Symantec và Carbon Black, các tác nhân ransomware đã tuyên bố tổng cộng 4.737 cuộc tấn công trong năm 2025, tăng từ 4.701 trong năm 2024, mức tăng 0.8%.
Những phát triển đáng chú ý khác trong không gian ransomware:
- Các tác nhân đe dọa sử dụng Akira ransomware đã tận dụng một driver Throttlestop dễ bị tổn thương, cùng với Windows CardSpace User Interface Agent và Microsoft Media Foundation Protected Pipeline, để sideload loader Bumblebee trong các cuộc tấn công được quan sát vào giữa đến cuối năm 2025.
- Các chiến dịch Akira ransomware cũng đã khai thác SonicWall SSL VPN để xâm nhập môi trường doanh nghiệp vừa và nhỏ trong quá trình sáp nhập và mua lại và cuối cùng giành quyền truy cập vào các doanh nghiệp mua lại lớn hơn. Một cuộc tấn công Akira khác đã được phát hiện sử dụng các mồi nhử xác minh CAPTCHA kiểu ClickFix để thả một remote access trojan .NET có tên SectopRAT, hoạt động như một cầu nối cho điều khiển từ xa và phân phối ransomware.
- LockBit (còn gọi là Syrphid), nhóm đã hợp tác với DragonForce và Qilin vào tháng 10 năm 2025, đã tiếp tục duy trì cơ sở hạ tầng của mình bất chấp một chiến dịch thực thi pháp luật nhằm ngừng hoạt động của nó vào đầu năm 2024. Nhóm này cũng đã phát hành các biến thể của LockBit 5.0 nhắm mục tiêu vào nhiều hệ điều hành và nền tảng ảo hóa. Một bản cập nhật đáng kể cho LockBit 5.0 là sự ra đời của mô hình triển khai ransomware hai giai đoạn tách loader khỏi payload chính, đồng thời tối đa hóa khả năng lẩn tránh, tính module hóa và tác động phá hoại.
- Một hoạt động RaaS mới có tên Sicarii chỉ tuyên bố một nạn nhân kể từ khi nó xuất hiện lần đầu vào cuối năm 2025. Mặc dù nhóm này tự nhận mình là người Israeli/Jewish một cách rõ ràng, phân tích đã phát hiện ra rằng hoạt động trực tuyến ngầm chủ yếu được thực hiện bằng tiếng Nga và nội dung tiếng Hebrew được chia sẻ bởi tác nhân đe dọa chứa các lỗi ngữ pháp và ngữ nghĩa. Điều này đã làm dấy lên khả năng về một hoạt động false flag. Operator chính của Sicarii sử dụng tài khoản Telegram "@Skibcum."
- Tác nhân đe dọa được gọi là Storm-2603 (còn gọi là CL-CRI-1040 hoặc Gold Salem) đã được quan sát tận dụng công cụ digital forensics and incident response (DFIR) hợp pháp Velociraptor như một phần của hoạt động tiền đề dẫn đến việc triển khai Warlock, LockBit và Babuk ransomware. Các cuộc tấn công cũng đã sử dụng hai driver ("rsndispot.sys" và "kl.sys") cùng với "vmtools.exe" để vô hiệu hóa các giải pháp bảo mật bằng cách sử dụng tấn công BYOVD.
- Các thực thể ở Ấn Độ, Brazil và Đức đã bị nhắm mục tiêu bởi các cuộc tấn công Makop ransomware khai thác các hệ thống RDP bị lộ và không an toàn để dàn dựng các công cụ để quét mạng, privilege escalation, vô hiệu hóa phần mềm bảo mật, credential dumping và triển khai ransomware. Các cuộc tấn công, bên cạnh việc sử dụng các driver "hlpdrv.sys" và "ThrottleStop.sys" cho các cuộc tấn công BYOVD, còn triển khai GuLoader để phân phối payload ransomware. Đây là trường hợp được ghi nhận đầu tiên Makop được phân phối thông qua một loader.
- Các cuộc tấn công ransomware cũng đã giành được quyền truy cập ban đầu bằng cách sử dụng các thông tin xác thực RDP đã bị xâm phạm để thực hiện reconnaissance, privilege escalation, lateral movement qua RDP, sau đó là đánh cắp dữ liệu đến temp[.]sh vào ngày thứ sáu của cuộc xâm nhập và triển khai Lynx ransomware ba ngày sau đó.
- Một lỗ hổng bảo mật trong quy trình mã hóa liên quan đến Obscura ransomware đã được phát hiện làm cho các tệp lớn không thể khôi phục được.
"Khi nó mã hóa các tệp lớn, nó không ghi được khóa tạm thời đã mã hóa vào phần footer của tệp," Coveware cho biết. "Đối với các tệp trên 1GB, phần footer đó hoàn toàn không được tạo ra — điều này có nghĩa là khóa cần thiết để giải mã bị mất. Các tệp này không thể khôi phục vĩnh viễn."
- Một họ ransomware mới có tên 01flip đã nhắm mục tiêu vào một số nạn nhân hạn chế ở khu vực Châu Á-Thái Bình Dương. Được viết bằng Rust, ransomware này có thể nhắm mục tiêu cả hệ thống Windows và Linux. Chuỗi tấn công liên quan đến việc khai thác các lỗ hổng bảo mật đã biết (ví dụ: CVE-2019-11580) để giành quyền kiểm soát mạng mục tiêu. Nó đã được gán cho một tác nhân đe dọa có động cơ tài chính được gọi là CL-CRI-1036.
Để bảo vệ chống lại các cuộc tấn công có chủ đích, các tổ chức được khuyến nghị giám sát việc sử dụng các công cụ dual-use, hạn chế quyền truy cập vào các dịch vụ RDP, thực thi multi-factor authentication (2FA), sử dụng application allowlisting khi thích hợp và triển khai lưu trữ bản sao dự phòng ngoài trang web.
"Mặc dù các cuộc tấn công ransomware mã hóa vẫn phổ biến hơn bao giờ hết và vẫn là một mối đe dọa, sự xuất hiện của các loại tấn công encryptionless mới bổ sung thêm một mức độ rủi ro khác, tạo ra một hệ sinh thái tống tiền rộng lớn hơn mà ransomware có thể chỉ là một thành phần," Symantec và Carbon Black cho biết.
