Osiris: nova família de ransomware usa driver malicioso e BYOVD | Cyber ataques

Pesquisadores identificaram a família Osiris, usada contra uma grande empresa de serviços alimentares na Ásia. O ataque combina Mimikatz, Rclone e um driver malicioso próprio (Poortry/Abyssworker) em um BYOVD para desativar defesas e criptografar sistemas, com exclusão de snapshots e interrupção de bancos de dados.

Resumo

Pesquisadores identificaram uma nova família de ransomware chamada Osiris, usada em ataques a uma grande empresa de serviços alimentares no sudeste da Ásia. A campanha combina ferramentas legítimas, utilitários maliciosos e um driver próprio (Poortry/Abyssworker) usado em ataque do tipo BYOVD para neutralizar defesas.

Descoberta e contexto

Analistas da Symantec e outros centros de pesquisa detectaram padrões em ataques ocorridos em novembro de 2025 que apontaram para uma família inédita, batizada de Osiris. Embora o nome tenha sido usado anteriormente por outro grupo em 2016, os pesquisadores afirmam que essa variante é distinta e desenvolvida por um operador ou grupo diferente.

Vetor, cadeia de ataque e técnicas

O conjunto de técnicas relatadas combina componentes legítimos e maliciosos: os atacantes usaram ferramentas de administração do Windows e utilitários dual‑use para reconhecimento e movimentação lateral; Mimikatz (versão 'kaz.exe') para extração de credenciais; Rclone para exfiltração de dados para buckets na Wasabi; e aplicações de acesso remoto disfarçadas (uma versão modificada do Rustdesk renomeada como WinZip).

Driver malicioso e BYOVD

O elemento mais preocupante é o driver Poortry, também referido como Abyssworker. Em vez de reutilizar um driver vulnerável conhecido, os atacantes desenvolveram um driver próprio e o apresentaram como software legítimo (simulando Malwarebytes) para enganar administradores. Esse componente permite escalonamento de privilégio e manipulação em nível de kernel, sendo empregado para desativar ou contornar soluções de endpoint — técnica classificada como bring‑your‑own‑vulnerable‑driver (BYOVD).

Capacidades do ransomware

Osiris aplica criptografia híbrida (ECC + AES‑128‑CTR) gerando chaves únicas por arquivo. Antes da cifragem, o operador teria exfiltrado dados com Rclone e, em seguida, interrompido serviços de bases de dados e rotinas de backup e removido snapshots de volumes para impedir recuperação.

Impacto e limites das evidências

Alvo confirmado: uma grande empresa de serviços alimentares na região do sudeste Asiático (não identificada publicamente).
Ferramentas e TTPs indicam operador experiente e foco em impacto operacional (bases de dados, backups).
Não há, nas fontes consultadas, atribuição definitiva a um grupo conhecido nem detalhes sobre vetor inicial de intrusão (phishing, RDP, vulnerabilidade exposta, supply chain).

Observações para equipes de defesa

Monitorar uso atípico de Mimikatz e variantes (kaz.exe) e atividades de Rclone apontando para endpoints de armazenamento em nuvem não usual.
Verificar assinaturas e origem de drivers instalados; bloquear drivers não aprovados e aplicar verificação de integridade de drivers em controle centralizado.
Revisar políticas de proteção de endpoint contra BYOVD: aplicar hardening de kernel, whitelisting de drivers e telemetria de chamadas de kernel.
Isolar e revisar atualizações/instalações de software de terceiros que possam ser usadas como disfarce (ex.: ferramentas de gestão remota renomeadas).

Fontes públicas mencionam evidências técnicas, mas faltam detalhes sobre vetor inicial, números de vítimas e se houve pagamento de resgate — informações que as equipes de resposta devem tratar como desconhecidas até confirmação.

Relevância

A combinação de BYOVD com driver customizado e exfiltração para provedores de nuvem público sinaliza evolução tática de operadores de ransomware. Organizações com presença global e especialmente infraestruturas que dependem de backups locais/instantâneos devem priorizar detecção e mitigação.