Nowy ransomware Osiris: BYOVD z użyciem sterownika POORTRY i ślady powiązań z INC

Wprowadzenie do problemu / definicja luki

W styczniu 2026 r. badacze Symantec i Carbon Black Threat Hunter Team opisali nową rodzinę ransomware nazwaną Osiris, używaną w ukierunkowanym ataku na dużego operatora franczyz gastronomicznych w Azji Południowo-Wschodniej (incydent miał miejsce w listopadzie 2025).

Kluczowym elementem kampanii było rozbrojenie zabezpieczeń poprzez technikę BYOVD (Bring Your Own Vulnerable Driver) – w tym przypadku z użyciem sterownika POORTRY, który służy do eskalacji uprawnień i ubijania procesów bezpieczeństwa.

W skrócie

• Nowa rodzina ransomware: Osiris to nowy szczep (bez potwierdzonych powiązań kodowych z dawnym „Osiris” z 2016 r.).
• Model ataku: najpierw eksfiltracja danych (Rclone → Wasabi), potem szyfrowanie.
• Evasion/EDR kill: sterownik POORTRY + narzędzie KillAV i zestaw narzędzi dual-use/LoTL.
• Możliwe tropy do INC: zbieżności operacyjne (m.in. Wasabi i Mimikatz jako kaz.exe).

Kontekst / historia / powiązania

Nazwa „Osiris” może mylić: istniał ransomware o tej nazwie kojarzony z ekosystemem Locky (2016), ale Symantec podkreśla, iż w obecnym przypadku nie ma przesłanek o powiązaniu między rodzinami.

Ciekawsze są natomiast powiązania taktyczne z grupą INC ransomware (Warble): w opisywanym incydencie zaobserwowano eksfiltrację do Wasabi buckets oraz użycie Mimikatz pod nazwą kaz.exe, co wcześniej wiązano z aktywnością INC.

Warto też pamiętać, iż POORTRY (znany też jako BURNTCIGAR) ma historię użycia przez różne gangi ransomware i był rozwijany w sposób nastawiony na skuteczne „wyłączanie” EDR.

Analiza techniczna / szczegóły luki

1) Sekwencja działań (kill chain)

Z opisu incydentu wynika dość „klasyczny” schemat nowoczesnego ransomware, ale z mocnym naciskiem na obronę przed EDR:

1. Wczesna aktywność i rekonesans + narzędzia dual-use/LoTL.
2. Eksfiltracja danych: wykorzystanie Rclone do wysyłki do chmury Wasabi (kilka dni przed szyfrowaniem).
3. Utrzymanie/zdalny dostęp: m.in. zmodyfikowany RustDesk (w kampanii opisywany jako wariant/instalacja „podszyta” pod legalne narzędzie).
4. Neutralizacja zabezpieczeń: sterownik POORTRY (w kontekście BYOVD) oraz użycie KillAV i włączenie RDP jako kanału dostępu.
5. Szyfrowanie + notatka okupu: pliki otrzymują rozszerzenie .Osiris, kasowane są migawki VSS.

2) POORTRY/BYOVD w praktyce

W klasycznym BYOVD atakujący „przynoszą” legalny, ale podatny sterownik i nadużywają jego funkcji do działań w jądrze. W tym przypadku Symantec zwraca uwagę, iż POORTRY jest nietypowy, bo to sterownik „szyty” pod ubijanie narzędzi bezpieczeństwa, a nie tylko nadużycie cudzego podatnego drivera.

Dodatkowy kontekst daje Sophos: POORTRY to narzędzie rozwijane latami, a jego autorzy wykorzystywali luki/kruczki procesu zaufania do podpisywania sterowników (w praktyce: gra na granicy zaufania do podpisów, łańcuchów i wyjątków zgodności).

3) Funkcje ransomware Osiris

Symantec opisuje Osiris jako „pełnoprawny” payload ransomware z typowymi funkcjami: zatrzymywanie usług, ubijanie procesów, selektywne szyfrowanie katalogów/rozszerzeń i zrzut notatki okupu.

Istotne detale operacyjne:

• Osiris ma tryby szyfrowania (m.in. częściowe vs pełne) oraz opcje związane z środowiskami wirtualizacji (Hyper-V).
• Ma zdefiniowane listy pomijanych rozszerzeń i folderów systemowych, co ogranicza ryzyko „zabicia” systemu zanim skończy się szyfrowanie.
• Zastosowano hybrydowy schemat kryptograficzny i unikalny klucz per plik; w doniesieniach medialnych doprecyzowano połączenie mechanizmów krzywych eliptycznych z AES-128-CTR oraz optymalizacje wydajnościowe (async I/O).

Praktyczne konsekwencje / ryzyko

1. Podwójne wymuszenie (double extortion): skoro dane są kradzione przed szyfrowaniem (Rclone → Wasabi), sama odbudowa z kopii może nie zamknąć incydentu — ryzyko wycieku i presji negocjacyjnej zostaje.
2. EDR pod ostrzałem: użycie sterownika w jądrze do wyłączania ochrony znacząco zwiększa skuteczność ransomware i skraca czas „od wykrycia do szyfrowania”.
3. Ryzyko powtórzeń TTP: jeżeli to faktycznie ewolucja/odprysk ekosystemu INC (albo naśladownictwo), zespoły IR mogą spodziewać się podobnych wzorców: eksfiltracja do Wasabi, kaz.exe, zestaw narzędzi sieciowych i zdalnego dostępu.

Rekomendacje operacyjne / co zrobić teraz

Szybkie działania (0–72h)

• Polowanie na Rclone: uruchomienia, zadania zaplanowane, nietypowe transfery do chmury oraz artefakty konfiguracji (szczególnie kierunek: Wasabi).
• Telemetria sterowników: korelacja zdarzeń ładowania driverów + alerty na nietypowe/podejrzane sterowniki w środowisku (w tym POORTRY).
• Hunting na „kaz.exe” i narzędzia dual-use: wykrywanie nietypowych uruchomień Mimikatz/LSASS access oraz narzędzi rozpoznania i lateral movement (w raporcie wymieniono m.in. Netscan/Netexec/MeshAgent).
• Weryfikacja RustDesk: jeżeli w organizacji jest dopuszczony, sprawdzić integralność i łańcuch dostarczenia; jeżeli nie jest dopuszczony — potraktować jako IOC/TTP do eskalacji.

Utwardzanie (1–4 tygodnie)

• Kontrola sterowników (Windows): polityki ograniczające ładowanie sterowników, tam gdzie możliwe włączanie mechanizmów typu HVCI/Memory Integrity i egzekwowanie zasad podpisu (w praktyce: minimalizacja powierzchni BYOVD). (Kontekst ryzyka i obejść pokazuje analiza Sophos).
• Ograniczenie RDP: w raporcie wskazano, iż RDP zostało włączone w środowisku ofiary — warto egzekwować „deny by default”, MFA, jump hosty i segmentację.
• Segmentacja i egress control: ransomware, które eksfiltruje dane do chmury, bardzo korzysta z braku kontroli wyjścia. Ogranicz egress do „known good” i monitoruj nowe destynacje.
• Odporność na kasowanie VSS: kopie zapasowe offline/immutability, testy odtwarzania i ochrona repozytoriów backupu (Osiris usuwa migawki).

Różnice / porównania z innymi przypadkami

• Osiris 2025/2026 vs „Osiris” 2016 (Locky): zbieżna nazwa, ale Symantec nie widzi związku rodzinnego — to ważne, bo inaczej wyglądałby proces triage (IOC, logika szyfrowania, negocjacje, dekryptory).
• BYOVD „klasyczne” vs POORTRY: w wielu kampaniach BYOVD nadużywa się legalnych podatnych driverów; tutaj istotny jest komponent „EDR killer” rozwijany jako własny ekosystem (co podnosi poprzeczkę dla obrony).
• Podobieństwa do INC: wspólne „smaczki” (Wasabi, kaz.exe) mogą oznaczać: (a) kopiowanie TTP, (b) migrację afilianta, (c) współdzielenie playbooków. W praktyce dla obrony różnica jest mniejsza niż dla atrybucji — liczy się dopasowanie detekcji do TTP.

Podsumowanie / najważniejsze wnioski

Osiris wygląda na nowy, dojrzały operacyjnie ransomware, wdrażany przez sprawnych napastników: najpierw kradzież danych, potem szyfrowanie, a po drodze agresywne „zdejmowanie” zabezpieczeń przez komponenty jądra (POORTRY/BYOVD).

Dla SOC/IR najważniejsze są trzy obszary: kontrola egress i polowanie na eksfiltrację (Rclone/Wasabi), telemetria sterowników i próby wyłączania EDR, oraz wczesne wykrywanie narzędzi dual-use używanych do rekonesansu i ruchu bocznego.

Źródła / bibliografia

• The Hacker News — „New Osiris Ransomware Emerges as New Strain Using POORTRY Driver in BYOVD Attack” (22.01.2026). (The Hacker News)
• SECURITY.COM (Symantec/Broadcom) — „Osiris: New Ransomware, Experienced Attackers?” (22.01.2026). (security.com)
• Sophos — „Attack tool update impairs Windows computers” (27.08.2024) – kontekst POORTRY/BURNTCIGAR. (news.sophos.com)
• SiliconANGLE — opis kampanii i uzupełniające szczegóły techniczne (22.01.2026). (SiliconANGLE)