Investigadores de ciberseguridad han revelado detalles de una nueva comunidad de ransomware señal Osiris que se dirigió a un importante cirujano franquiciado de servicios de alimentos en el sudeste oriental en noviembre de 2025.
El ataque aprovechó un compensador astuto llamado POORTRY como parte de una técnica conocida denominada “traiga su propio compensador indefenso” (BYOVD) para desarmar el software de seguridad, dijo Symantec y Carbon Black Threat Hunter Team.
Vale la pena señalar que se considera que Osiris es una cepa de ransomware completamente nueva, que no comparte similitudes con otra transformación del mismo nombre que surgió en diciembre de 2016 como una iteración del ransomware Locky. Actualmente no se sabe quiénes son los desarrolladores del casillero o si se anuncia como un ransomware como servicio (RaaS).
Sin bloqueo, la división de ciberseguridad propiedad de Broadcom dijo que identificó pistas que sugieren que los actores de amenazas que implementaron el ransomware pueden ocurrir estado asociados previamente con INC ransomware (además conocido como Warble).
“En este ataque se utilizó una amplia matiz de herramientas de doble uso y que viven de la tierra, al igual que un compensador POORTRY astuto, que probablemente se utilizó como parte de un ataque de “traiga su propio compensador indefenso” (BYOVD) para desactivar el software de seguridad”, dijo la compañía en un noticia compartido con The Hacker News.
“La exfiltración de datos por parte de los atacantes a depósitos de Wasabi y el uso de una traducción de Mimikatz que fue utilizada anteriormente, con el mismo nombre de archivo (kaz.exe), por los atacantes que implementaron el ransomware INC, apuntan a vínculos potenciales entre este ataque y algunos ataques que involucran a INC”.
Osiris, descrito como una “carga útil de enigmático eficaz” que probablemente utilicen atacantes experimentados, utiliza un esquema de enigmático híbrido y una secreto de enigmático única para cada archivo. Igualmente es flexible porque puede detener servicios, especificar qué carpetas y extensiones deben cifrarse, finalizar procesos y despachar una nota de rescate.
De forma predeterminada, está diseñado para eliminar una larga letanía de procesos y servicios relacionados con Microsoft Office, Exchange, Mozilla Firefox, WordPad, Notepad, Volume Shadow Copy y Veeam, entre otros.
Los primeros signos de actividad maliciosa en la red del objetivo involucraron la filtración de datos confidenciales utilizando Rclone a un depósito de almacenamiento en la aglomeración de Wasabi antaño de la implementación del ransomware. Igualmente se utilizaron en el ataque una serie de herramientas de doble uso como Netscan, Netexec y MeshAgent, así como una traducción personalizada del software de escritorio remoto Rustdesk.
POORTRY es un poco diferente de los ataques BYOVD tradicionales en que utiliza un compensador personalizado diseñado expresamente para elevar privilegios y finalizar herramientas de seguridad, en lado de implementar un compensador oficial pero indefenso en la red de destino.
“KillAV, que es una utensilio utilizada para implementar controladores vulnerables para finalizar procesos de seguridad, además se implementó en la red del objetivo”, señaló el equipo Symantec y Carbon Black Threat Hunter. “Igualmente se habilitó RDP en la red, lo que probablemente proporcione a los atacantes acercamiento remoto”.
Este avance se produce cuando el ransomware sigue siendo una importante amenaza empresarial, con el panorama en constante cambio a medida que algunos grupos cierran sus puertas y otros resurgen rápidamente de sus cenizas o se mudan para vivir su lado. Según un examen de sitios de fuga de datos realizado por Symantec y Carbon Black, los actores de ransomware reclamaron un total de 4.737 ataques durante 2025, frente a 4.701 en 2024, un aumento del 0,8%.
Los jugadores más activos durante el año pasado fueron Akira (además conocido como Darter o Howling Scorpius), Qilin (además conocido como Stinkbug o Water Galura), Play (además conocido como Balloonfly), INC, SafePay, RansomHub (además conocido como Greenbottle), DragonForce (además conocido como Hackledorb), Sinobi, Rhysida y CACTUS. Algunos de los otros desarrollos notables en el espacio se enumeran a continuación:
- Los actores de amenazas que utilizan el ransomware Akira han utilizado un compensador Throttlestop indefenso, adyacente con el agente de interfaz de sucesor CardSpace de Windows y el canal protegido de Microsoft Media Foundation, para descargar el cargador Bumblebee en ataques observados a mediados o finales de 2025.
- Las campañas de ransomware de Akira además han explotado las VPN SSL de SonicWall para violar entornos de pequeñas y medianas empresas durante fusiones y adquisiciones y, en última instancia, obtener acercamiento a las empresas adquirentes más grandes. Se ha descubierto que otro ataque de Akira aprovecha los señuelos de demostración CAPTCHA estilo ClickFix para exhalar un troyano de acercamiento remoto .NET llamado SectopRAT, que sirve como conducto para el control remoto y la entrega de ransomware.
- LockBit (además conocido como Syrphid), que se asoció con DragonForce y Qilin en octubre de 2025, continuó manteniendo su infraestructura a pesar de una operación policial para cerrar sus operaciones a principios de 2024. Igualmente lanzó variantes de LockBit 5.0 dirigidas a múltiples sistemas operativos y plataformas de virtualización. Una puesta al día importante de LockBit 5.0 es la ingreso de un maniquí de implementación de ransomware de dos etapas que separa el cargador de la carga útil principal y, al mismo tiempo, maximiza la esparcimiento, la modularidad y el impacto destructivo.
- Una nueva operación RaaS denominada Sicarii se ha cobrado solo una víctima desde que apareció por primera vez a finales de 2025. Si admisiblemente el especie se identifica explícitamente como israelí/cicatero, el examen ha descubierto que la actividad clandestina en segmento se lleva a límite principalmente en ruso y que el contenido hebreo compartido por el actor de la amenaza contiene errores gramaticales y semánticos. Esto ha planteado la posibilidad de una operación de bandera falsa. El cirujano principal de Sicarii utiliza la cuenta de Telegram “@Skibcum”.
- Se ha observado que el actor de amenazas conocido como Storm-2603 (además conocido como CL-CRI-1040 o Gold Salem) aprovecha la legítima utensilio forense digital y respuesta a incidentes (DFIR) Velociraptor como parte de la actividad precursora que conduce al despliegue de los ransomware Warlock, LockBit y Babuk. Los ataques además utilizaron dos controladores (“rsndispot.sys” y “kl.sys”) adyacente con “vmtools.exe” para desactivar las soluciones de seguridad mediante un ataque BYOVD.
- Entidades en India, Brasil y Alemania han sido blanco de ataques de ransomware Makop que explotan sistemas RDP expuestos e inseguros para preparar herramientas para escaneo de red, ascensión de privilegios, desactivación de software de seguridad, volcado de credenciales e implementación de ransomware. Los ataques, por otra parte de utilizar los controladores “hlpdrv.sys” y “ThrottleStop.sys” para ataques BYOVD, además implementan GuLoader para entregar la carga útil del ransomware. Este es el primer caso documentado de distribución de Makop a través de un cargador.
- Los ataques de ransomware además obtuvieron acercamiento auténtico utilizando credenciales RDP ya comprometidas para realizar agradecimiento, ascensión de privilegios, movimiento vecino a través de RDP, seguido de exfiltración de datos a temp(.)sh el sexto día de la intrusión e implementación de ransomware Lynx tres días luego.
- Se ha descubierto que una equivocación de seguridad en el proceso de enigmático asociado con el ransomware Obscura hace que los archivos grandes sean irrecuperables. “Cuando número archivos grandes, no escribe la secreto temporal cifrada en el pie de página del archivo”, dijo Coveware. “Para archivos de más de 1 GB, ese pie de página nunca se crea, lo que significa que la secreto necesaria para el descifrado se pierde. Estos archivos son permanentemente irrecuperables”.
- Una nueva comunidad de ransomware señal 01flip se ha dirigido a un conjunto restringido de víctimas en la región de Asia y el Pacífico. Escrito en Rust, el ransomware puede apuntar a sistemas Windows y Linux. Las cadenas de ataques implican la explotación de vulnerabilidades de seguridad conocidas (por ejemplo, CVE-2019-11580) para afianzarse en las redes objetivo. Se ha atribuido a un actor de amenazas con motivación financiera conocido como CL-CRI-1036.
Para guarecerse contra ataques dirigidos, se recomienda a las organizaciones que supervisen el uso de herramientas de doble uso, restrinjan el acercamiento a los servicios RDP, apliquen la autenticación multifactor (2FA), utilicen listas de aplicaciones permitidas cuando corresponda e implementen el almacenamiento forastero de copias de seguridad.
“Si admisiblemente los ataques que involucran ransomware enigmático siguen siendo tan frecuentes como siempre y siguen representando una amenaza, la arribada de nuevos tipos de ataques sin enigmático añade otro naturaleza de aventura, creando un ecosistema de perturbación más amplio del cual el ransomware puede convertirse en sólo un componente”, dijeron Symantec y Carbon Black.
