Nuevo ransomware Osiris emerge como nueva cepa usando el controlador POORTRY en un ataque BYOVD

Investigadores de ciberseguridad revelaron detalles de una nueva familia de ransomware llamada Osiris que atacó a un importante operador franquiciado de servicios de alimentación en el sudeste asiático en noviembre de 2025. El ataque utilizó un controlador malicioso llamado POORTRY como parte de la técnica BYOVD para desarmar el software de seguridad.

Investigadores de ciberseguridad han revelado detalles de una nueva familia de ransomware llamada Osiris que atacó a un importante operador franquiciado de servicios de alimentación en el sudeste asiático en noviembre de 2025. El ataque aprovechó un controlador malicioso llamado POORTRY como parte de una técnica conocida como "trae tu propio controlador vulnerable" (BYOVD, por sus siglas en inglés) para desactivar el software de seguridad, según informaron el equipo de cazadores de amenazas de Symantec y Carbon Black.

Cabe destacar que se evalúa que Osiris es una cepa de ransomware completamente nueva, sin similitudes con otra variante del mismo nombre que surgió en diciembre de 2016 como una iteración del ransomware Locky. Actualmente no se sabe quiénes son los desarrolladores del secuestrador, ni si se publicita como ransomware como servicio (RaaS). Sin embargo, la división de ciberseguridad propiedad de Broadcom dijo que identificó pistas que sugieren que los actores de amenazas que implementaron el ransomware podrían haber estado asociados previamente con el ransomware INC (también conocido como Warble).

Se utilizó una amplia gama de herramientas de administración del sistema y de doble uso en este ataque, así como un controlador malicioso POORTRY, que probablemente se usó como parte de un ataque BYOVD para deshabilitar el software de seguridad. La exfiltración de datos por parte de los atacantes a cubos de Wasabi, y el uso de una versión de Mimikatz que se usó anteriormente, con el mismo nombre de archivo (kaz.exe), por atacantes que implementaban el ransomware INC, apuntan a posibles vínculos entre este ataque y algunos ataques que involucran a INC.

Descrito como una "carga útil de cifrado efectiva" que probablemente es manejada por atacantes experimentados, Osiris utiliza un esquema de cifrado híbrido y una clave de cifrado única para cada archivo. También es flexible, ya que puede detener servicios, especificar qué carpetas y extensiones deben cifrarse, finalizar procesos y dejar una nota de rescate. Por defecto, está diseñado para eliminar una larga lista de procesos y servicios relacionados con Microsoft Office, Exchange, Mozilla Firefox, WordPad, Bloc de notas, Volume Shadow Copy y Veeam, entre otros.

Los primeros signos de actividad maliciosa en la red del objetivo implicaron la exfiltración de datos confidenciales mediante Rclone a un cubo de almacenamiento de Wasabi antes de la implementación del ransomware. También se utilizaron en el ataque varias herramientas de doble uso como Netscan, Netexec y MeshAgent, así como una versión personalizada del software de escritorio remoto Rustdesk. POORTRY es un poco diferente de los ataques BYOVD tradicionales, ya que utiliza un controlador hecho a medida expresamente diseñado para elevar privilegios y terminar herramientas de seguridad, en lugar de implementar un controlador legítimo pero vulnerable en la red objetivo.

"KillAV, que es una herramienta utilizada para implementar controladores vulnerables para terminar procesos de seguridad, también se implementó en la red del objetivo", señaló el equipo de cazadores de amenazas de Symantec y Carbon Black. "También se habilitó RDP en la red, probablemente para proporcionar a los atacantes acceso remoto".

El desarrollo se produce mientras el ransomware sigue siendo una amenaza empresarial significativa, con un panorama que cambia constantemente a medida que algunos grupos cierran sus puertas y otros rápidamente surgen de sus cenizas o se mudan para ocupar su lugar. Según un análisis de los sitios de filtración de datos realizado por Symantec y Carbon Black, los actores de ransomware reclamaron un total de 4737 ataques durante 2025, frente a 4701 en 2024, un aumento del 0,8%.

Los actores más activos durante el último año fueron Akira (también conocido como Darter o Howling Scorpius), Qilin (también conocido como Stinkbug o Water Galura), Play (también conocido como Balloonfly), INC, SafePay, RansomHub (también conocido como Greenbottle), DragonForce (también conocido como Hackledorb), Sinobi, Rhysida y CACTUS. Algunos de los otros desarrollos notables en el espacio se enumeran a continuación:

Actores de amenazas que utilizan el ransomware Akira han aprovechado un controlador Throttlestop vulnerable, junto con el Agente de interfaz de usuario de Windows CardSpace y la canalización protegida de Microsoft Media Foundation, para cargar lateralmente el cargador Bumblebee en ataques observados entre mediados y finales de 2025.
Las campañas de ransomware Akira también han explotado SonicWall SSL VPN para violar entornos de pequeñas y medianas empresas durante fusiones y adquisiciones y, en última instancia, obtener acceso a las empresas adquirentes más grandes. Otro ataque de Akira ha sido descubierto utilizando señuelos de verificación CAPTCHA estilo ClickFix para soltar un troyano de acceso remoto .NET llamado SectopRAT, que sirve como conducto para el control remoto y la entrega de ransomware.
LockBit (también conocido como Syrphid), que se asoció con DragonForce y Qilin en octubre de 2025, ha continuado manteniendo su infraestructura a pesar de una operación policial para cerrar sus operaciones a principios de 2024. También ha lanzado variantes de LockBit 5.0 dirigidas a múltiples sistemas operativos y plataformas de virtualización. Una actualización significativa de LockBit 5.0 es la introducción de un modelo de implementación de ransomware de dos etapas que separa el cargador de la carga útil principal, mientras maximiza simultáneamente la evasión, la modularidad y el impacto destructivo.
Una nueva operación RaaS llamada Sicarii ha reclamado solo una víctima desde que surgió por primera vez a finales de 2025. Si bien el grupo se identifica explícitamente como israelí/judío, el análisis ha descubierto que la actividad subterránea en línea se lleva a cabo principalmente en ruso y que el contenido hebreo compartido por el actor de amenazas contiene errores gramaticales y semánticos. Esto ha planteado la posibilidad de una operación de bandera falsa. El operador principal de Sicarii ha utilizado la cuenta de Telegram "@Skibcum", haciéndose pasar por su líder de comunicaciones para promover el ransomware, mientras afirma que el grupo se enfoca en pequeñas empresas y que mantiene intencionalmente un perfil bajo "por ahora".
El actor de amenazas conocido como Storm-2603 (también conocido como CL-CRI-1040 o Gold Salem) ha sido observado utilizando la herramienta legítima de forense digital y respuesta a incidentes (DFIR) Velociraptor como parte de una actividad precursora que lleva a la implementación de ransomware Warlock, LockBit y Babuk. Los ataques también han utilizado dos controladores ("rsndispot.sys" y "kl.sys") junto con "vmtools.exe" para deshabilitar soluciones de seguridad mediante un ataque BYOVD.
Entidades en India, Brasil y Alemania han sido atacadas por ataques de ransomware Makop que explotan sistemas RDP expuestos e inseguros para preparar herramientas para escaneo de redes, escalada de privilegios, deshabilitación de software de seguridad, volcado de credenciales e implementación de ransomware. Los ataques, además de usar los controladores "hlpdrv.sys" y "ThrottleStop.sys" para ataques BYOVD, también implementan GuLoader para entregar la carga útil del ransomware. Este es el primer caso documentado de Makop distribuido a través de un cargador.
Los ataques de ransomware también han obtenido acceso inicial utilizando credenciales RDP ya comprometidas para realizar reconocimiento, escalada de privilegios, movimiento lateral a través de RDP, seguido de la exfiltración de datos a temp[.]sh en el sexto día de la intrusión e implementación del ransomware Lynx tres días después.
Se ha descubierto que una falla de seguridad en el proceso de cifrado asociado con el ransomware Obscura hace que los archivos grandes sean irrecuperables. "Cuando cifra archivos grandes, no escribe la clave temporal cifrada en el pie de página del archivo", dijo Coveware. "Para archivos de más de 1 GB, ese pie de página nunca se crea, lo que significa que la clave necesaria para el descifrado se pierde. Estos archivos son permanentemente irrecuperables".
Una nueva familia de ransomware llamada 01flip ha atacado a un conjunto limitado de víctimas en la región de Asia-Pacífico. Escrito en Rust, el ransomware puede atacar sistemas Windows y Linux. Las cadenas de ataque implican la explotación de vulnerabilidades de seguridad conocidas (por ejemplo, CVE-2019-11580) para obtener un punto de apoyo en las redes objetivo. Se ha atribuido a un actor de amenazas motivado financieramente conocido como CL-CRI-1036.

Para protegerse contra ataques dirigidos, se recomienda a las organizaciones monitorear el uso de herramientas de doble uso, restringir el acceso a servicios RDP, aplicar la autenticación multifactor (2FA), usar listas blancas de aplicaciones cuando sea aplicable e implementar almacenamiento externo de copias de seguridad.

Si bien los ataques que involucran ransomware de cifrado siguen siendo tan frecuentes como siempre y aún representan una amenaza, la llegada de nuevos tipos de ataques sin cifrado agrega otro grado de riesgo, creando un ecosistema de extorsión más amplio del cual el ransomware puede convertirse solo en un componente.