Los investigadores de ciberseguridad han revelado detalles de una nueva familia de ransomware llamada Osiris que tuvo como objetivo a un importante operador franquiciado de servicios de alimentos en el sudeste asiático en noviembre de 2025.

El ataque aprovechó un controlador malintencionado llamado POBREZA como parte de una técnica conocida denominada Bring Your Own Vulnerable Driver (BYOVD) para desactivar el software de seguridad, según el equipo Threat Hunter de Symantec y Carbon Black.

Vale la pena señalar que se considera que Osiris es una cepa de ransomware completamente nueva, que no comparte similitudes con otra variante de la mismo nombre que surgió en diciembre de 2016 como una iteración del ransomware Locky. Actualmente no se sabe quiénes son los desarrolladores del casillero ni si se anuncia como ransomware como servicio (RaaS).

Sin embargo, la división de ciberseguridad, propiedad de Broadcom, dijo que identificó pistas que sugieren que los actores de amenazas que desplegaron el ransomware podrían haber estado asociados anteriormente con RANSOMWARE INC (también conocido como Warble).

«En este ataque se utilizó una amplia gama de herramientas para vivir de la tierra y de doble uso, al igual que un conductor malintencionado de POORTRY, que probablemente se utilizó como parte de un ataque Bring Your Own Vulnerable Driver (BYOVD) para deshabilitar el software de seguridad», dijo la empresa dijo en un informe compartido con The Hacker News.

«La filtración de datos por parte de los atacantes a cubos de Wasabi y el uso de una versión de Mimikatz que utilizaban anteriormente, con el mismo nombre de archivo (kaz.exe), por parte de los atacantes que utilizaban el ransomware INC, apuntan a posibles vínculos entre este ataque y algunos ataques en los que participaron INC».

Descrito como una «carga útil de cifrado eficaz» que probablemente utilicen atacantes experimentados, Osiris utiliza un esquema de cifrado híbrido y una clave de cifrado única para cada archivo. También es flexible, ya que puede detener los servicios, especificar qué carpetas y extensiones deben cifrarse, finalizar los procesos y enviar una nota de rescate.

De forma predeterminada, está diseñado para eliminar una larga lista de procesos y servicios relacionados con Microsoft Office, Exchange, Mozilla Firefox, WordPad, Notepad, Volume Shadow Copy y Veeam, entre otros.

Las primeras señales de actividad maliciosa en la red del objetivo consistieron en la filtración de datos confidenciales mediante Rclone a un depósito de almacenamiento en la nube de Wasabi antes del despliegue del ransomware. En el ataque también se utilizaron varias herramientas de doble uso, como Netscan, Netexec y MeshaGent, así como una versión personalizada del software de escritorio remoto Rustdesk.

POORTRY se diferencia un poco de los ataques BYOVD tradicionales en que utiliza un controlador personalizado diseñado expresamente para aumentar los privilegios y anular las herramientas de seguridad, en lugar de implementar un controlador legítimo pero vulnerable en la red objetivo.

«KilLAV, que es una herramienta que se utiliza para implementar controladores vulnerables para terminar los procesos de seguridad, también se implementó en la red del objetivo», señaló el equipo de Symantec y Carbon Black Threat Hunter. «El RDP también estaba habilitado en la red, lo que probablemente proporcionaría a los atacantes un acceso remoto».

El desarrollo se produce en un momento en que el ransomware sigue siendo una amenaza empresarial importante, ya que el panorama cambia constantemente a medida que algunos grupos cierran sus puertas y otros se levantan rápidamente de sus cenizas o se mudan para ocupar su lugar. Según un análisis de los sitios de filtración de datos realizado por Symantec y Carbon Black, los actores del ransomware denunciaron un total de 4.737 ataques en 2025, frente a los 4.701 de 2024, lo que representa un aumento del 0,8%.

El más activo Los jugadores del año pasado fueron Akira (también conocido como Darter o Howling Scorpius), Qilin (también conocido como Stinkbug o Water Galura), Play (también conocido como Balloonfly), INC, SafePay, RansomHub (también conocido como Greenbottle), DragonForce (también conocido como Hackledorb), Sinobi, Rhysida y CACTUS. Algunos de los otros avances notables en este ámbito se enumeran a continuación:

  • Los actores de amenazas que utilizan el ransomware Akira han aprovechado un controlador Throttlestop vulnerable , junto con el agente de interfaz de usuario de Windows CardSpace y el canal protegido de Microsoft Media Foundation, para descargar de forma lateral el Abejorro mayor cantidad de ataques observados a mediados o finales de 2025.
  • Las campañas de ransomware de Akira también han explotado Las VPN SSL de SonicWall permiten violar los entornos de pequeñas y medianas empresas durante las fusiones y adquisiciones y, en última instancia, obtener acceso a las empresas más grandes que las adquieren. Otro ataque de Akira ha sido encontrado para aprovechar Haga clic en Fijar La verificación CAPTCHA al estilo atrae a eliminar un troyano de acceso remoto.NET llamado Sector RAT , que sirve como conducto para el control remoto y la entrega de ransomware.
  • LockBit (también conocido como Syrphid), que se asoció con DragonForce y Qilin en octubre de 2025, ha seguido mantener su infraestructura a pesar de un operación de aplicación de la ley para cerrar sus operaciones a principios de 2024. También ha lanzado variantes de LockBit 5.0 dirigido a múltiples sistemas operativos y plataformas de virtualización. Una actualización importante de LockBit 5.0 es la introducción de un modelo de despliegue de ransomware en dos etapas que separa el cargador de la carga útil principal y, al mismo tiempo, maximiza la evasión, la modularidad y el impacto destructivo.
  • Una nueva operación de RaaS denominada Sicarii solo se ha cobrado una víctima desde que apareció por primera vez a finales de 2025. Si bien el grupo se identifica explícitamente como israelí/judío, los análisis han descubierto que la actividad clandestina en línea se lleva a cabo principalmente en ruso y que el contenido en hebreo compartido por el autor de la amenaza contiene errores gramaticales y semánticos. Esto ha planteado la posibilidad de una operación de bandera falsa. El operador principal de Sicarii usa la cuenta de Telegram "@Skibcum».
  • El actor de amenazas conocido como Tormenta-2603 (también conocido como CL-CRI-1040 o Gold Salem) se ha observado que aprovecha el legítimo Velocirraptor herramienta forense digital y de respuesta a incidentes (DFIR) como parte de la actividad precursora que condujo al despliegue del ransomware Warlock, LockBit y Babuk. Los ataques también utilizaron dos controladores (» rsndispot.sys "y" kl.sys «) junto con" vmtools.exe "para desactivar las soluciones de seguridad mediante un ataque BYOVD.
  • Entidades en India, Brasil y Alemania han sido dirigido por Maquillaje ataques de ransomware que explotan los sistemas RDP expuestos e inseguros para organizar herramientas para el escaneo de la red, la escalada de privilegios, la desactivación del software de seguridad, el vertido de credenciales y el despliegue de ransomware. Los ataques, además de utilizar los controladores "hlpdrv.sys" y "ThrottleStop.sys" para los ataques de BYOVD, también utilizan GuLoader para entregar la carga útil del ransomware. Este es el primer caso documentado de distribución de Makop a través de un cargador.
  • Los ataques de ransomware también han obtenido acceso inicial utilizando credenciales de RDP ya comprometidas para realizar un reconocimiento, escalamiento de privilegios, movimiento lateral a través de RDP, seguido de exfiltración de datos para temp [.] sh el sexto día de la intrusión y desplegando ransomware Lynx tres días después.
  • Un fallo de seguridad en el proceso de cifrado asociado a la Obscura ransomware se ha descubierto que hace que los archivos grandes sean irrecuperables. «Cuando cifra archivos de gran tamaño, no escribe la clave temporal cifrada en el pie de página del archivo», afirma Coveware. «En el caso de los archivos de más de 1 GB, ese pie de página nunca se crea, lo que significa que se pierde la clave necesaria para el descifrado. Estos archivos son irrecuperables de forma permanente».
  • Una nueva familia de ransomware llamada 01 volteo se ha centrado en un conjunto limitado de víctimas en la región de Asia y el Pacífico. Escrito en Rust, el ransomware puede atacar tanto los sistemas Windows como Linux. Las cadenas de ataque implican la explotación de vulnerabilidades de seguridad conocidas (por ejemplo, la CVE-2019-11580) para hacerse un hueco en las redes objetivo. Se ha atribuido a un actor de amenazas con motivaciones financieras conocido como CL-CRI-1036.

Para protegerse contra los ataques dirigidos, se recomienda a las organizaciones que supervisen el uso de herramientas de doble uso, restrinjan el acceso a los servicios de RDP, apliquen la autenticación multifactor (2FA), utilicen la lista de aplicaciones permitidas cuando corresponda e implementen el almacenamiento externo de las copias de seguridad.

«Si bien los ataques relacionados con el ransomware de cifrado siguen siendo tan frecuentes como siempre y siguen representando una amenaza, la llegada de nuevos tipos de ataques sin cifrado añade otro grado de riesgo y crea un ecosistema de extorsión más amplio del que el ransomware puede convertirse en solo un componente», dijeron Symantec y Carbon Black dijo .

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.