Pesquisadores de cibersegurança detalharam uma nova família de ransomware chamada Osiris, que atacou um importante operador de franquias do setor alimentício no Sudeste Asiático em novembro de 2025.
O ataque utilizou um driver malicioso chamado POORTRY, parte de uma técnica conhecida como “bring your own vulnerable driver” (BYOVD), cujo objetivo é desativar soluções de segurança.
As informações foram divulgadas pelas equipes da Symantec e Carbon Black Threat Hunter.
Importante destacar que o Osiris é um ransomware completamente novo, sem relação com uma ameaça homônima surgida em 2016, vinculada ao Locky.
Até o momento, não há informações sobre os responsáveis pelo desenvolvimento do Osiris ou se ele é oferecido como ransomware-as-a-service (RaaS).
No entanto, a divisão de cibersegurança da Broadcom identificou indícios que ligam os autores ao grupo por trás do ransomware INC, também conhecido como Warble.
O relatório compartilhado com o The Hacker News detalha que um conjunto diversificado de ferramentas living off the land e de duplo uso foi empregado no ataque, incluindo o driver malicioso POORTRY para desabilitar softwares de segurança.
Além disso, houve o roubo de dados para buckets na nuvem da Wasabi, utilizando uma versão do Mimikatz com o mesmo nome de arquivo (kaz.exe), anteriormente associada ao grupo INC, sugerindo vínculo entre os ataques.
Descrito como uma “payload de criptografia eficaz”, o Osiris utiliza um esquema híbrido de criptografia, gerando chaves exclusivas para cada arquivo afetado.
O ransomware é flexível, podendo interromper serviços, definir quais pastas e extensões serão criptografadas, finalizar processos e deixar uma nota de resgate.
Por padrão, o malware encerra uma extensa lista de processos e serviços relacionados ao Microsoft Office, Exchange, Firefox, WordPad, Notepad, Volume Shadow Copy, Veeam, entre outros.
Os primeiros sinais do ataque incluíram a exfiltração de dados sensíveis com o uso do Rclone para a nuvem Wasabi, antes da ação do ransomware.
Também foram observadas ferramentas legítimas, como Netscan, Netexec e MeshAgent, além de uma versão personalizada do software de desktop remoto Rustdesk.
O POORTRY se diferencia das técnicas tradicionais de BYOVD ao utilizar um driver desenvolvido sob medida para elevar privilégios e encerrar ferramentas de segurança, em vez de explorar drivers legítimos e vulneráveis já presentes na rede da vítima.
Foi detectado ainda o uso do KillAV, ferramenta que implanta drivers vulneráveis para finalizar processos de proteção, além da ativação do protocolo RDP para facilitar o acesso remoto dos invasores.
Este caso reforça que o ransomware permanece como uma ameaça grave para empresas, em um ambiente de ameaças em constante evolução.
Enquanto alguns grupos encerram operações, outros rapidamente surgem ou ocupam lacunas deixadas.
Segundo análise da Symantec e Carbon Black, ataques de ransomware totalizaram 4.737 casos em 2025, um aumento de 0,8% em relação aos 4.701 incidentes registrados em 2024.
Os grupos mais ativos foram Akira (também chamado Darter ou Howling Scorpius), Qilin (Stinkbug ou Water Galura), Play (Balloonfly), INC, SafePay, RansomHub (Greenbottle), DragonForce (Hackledorb), Sinobi, Rhysida e CACTUS.
Entre outras descobertas recentes:
- O grupo Akira explorou um driver vulnerável do Throttlestop, integrando ferramentas legítimas do Windows, para injetar o loader Bumblebee em ataques detectados em 2025.
Também utilizaram vulnerabilidades em VPNs SonicWall para atacar empresas durante processos de fusão e aquisição, além de empregar armadilhas de CAPTCHA para disseminar o trojan remoto SectopRAT.
- LockBit (Syrphid), que firmou parceria com DragonForce e Qilin em outubro de 2025, mantém sua infraestrutura ativa mesmo após uma operação policial em 2024.
Lançou variantes do LockBit 5.0 que operam em duas fases, separando loader e payload para maximizar evasão e impacto.
- O RaaS Sicarii, ativo desde 2025, tem apenas uma vítima confirmada.
Embora se autodenomine um grupo israelense/judeu, análises indicam que sua atividade ocorre majoritariamente em russo, o que sugere uma possível operação de false flag.
- Storm-2603 (CL-CRI-1040 ou Gold Salem) utilizou a ferramenta legítima Velociraptor para ações preparatórias em ataques com os ransomwares Warlock, LockBit e Babuk, empregando dois drivers específicos para desativar defesas via BYOVD.
- Ataques com o Makop ransomware miraram Índia, Brasil e Alemanha, explorando RDPs inseguros para escaneamento, escalonamento de privilégios, dumping de credenciais e instalação do ransomware via loaders, marcando a primeira distribuição documentada do Makop dessa forma.
- Invasores também usaram credenciais RDP previamente comprometidas para movimentação lateral e exfiltração de dados, culminando na implantação do ransomware Lynx dias depois.
- Uma falha no processo de criptografia do Obscura ransomware torna arquivos grandes irreversivelmente corrompidos, pois a chave temporária não é gravada corretamente no rodapé dos arquivos com mais de 1 GB.
- A família 01flip, desenvolvida em Rust, atacou vítimas na região Ásia-Pacífico, visando sistemas Windows e Linux.
Ela se aproveita da exploração de vulnerabilidades conhecidas, como a
CVE-2019-11580
, para obter acesso, sendo associada a um ator financeiro identificado como CL-CRI-1036.
Para se proteger contra ataques direcionados, especialistas recomendam monitorar o uso de ferramentas de duplo emprego, restringir acessos a RDP, implementar autenticação multifator, usar allowlisting de aplicativos e manter backups externos atualizados.
“As ameaças de ransomware encriptador continuam presentes e perigosas, mas novos ataques sem criptografia ganham espaço, ampliando o ecossistema de extorsão, do qual o ransomware pode ser apenas uma parte”, afirmam Symantec e Carbon Black.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...