Aparece el ransomware Osiris que utiliza el driver POORTRY en ataques BYOVD
Publicado el
Introducción
Recientemente, se ha identificado un nuevo tipo de ransomware denominado Osiris, que ha atacado a un importante operador de servicios alimentarios en el sudeste asiático. Este malware, descubierto en noviembre de 2025, utiliza un driver malicioso conocido como POORTRY en un ataque que se enmarca dentro de la técnica conocida como bring your own vulnerable driver (BYOVD).
Detalles del ataque
Según el equipo de investigación de Symantec y Carbon Black, Osiris representa una nueva cepa de ransomware, sin relación con una variante anterior del mismo nombre que apareció en 2016. Se desconoce la identidad de los desarrolladores de Osiris y si este se ofrece como un servicio de ransomware (RaaS). Sin embargo, se han encontrado indicios que sugieren vínculos con el ransomware INC (también conocido como Warble).
El ataque se caracterizó por el uso de una variedad de herramientas de doble uso, junto con el driver malicioso POORTRY, diseñado específicamente para desactivar programas de seguridad. Este enfoque difiere de los ataques BYOVD tradicionales, que suelen utilizar drivers legítimos pero vulnerables para infiltrarse en la red del objetivo.
Mecanismos de cifrado
Osiris se describe como un payload de cifrado eficaz, que utiliza un esquema de cifrado híbrido y genera una clave única para cada archivo. Además, este ransomware posee la capacidad de detener servicios, seleccionar carpetas y extensiones específicas para el cifrado, y finalizar procesos, lo que lo convierte en una herramienta flexible y peligrosa. Entre los procesos que Osiris puede desactivar se encuentran aquellos relacionados con Microsoft Office, Exchange, y otros programas comunes.
### Exfiltración de datos
Los primeros indicios de actividad maliciosa en la red del objetivo incluyeron la exfiltración de datos sensibles a un almacenamiento en la nube de Wasabi mediante Rclone, antes de la implementación del ransomware. Herramientas como Netscan, Netexec y MeshAgent, además de una versión personalizada del software de escritorio remoto Rustdesk, también fueron utilizadas en el ataque.
Técnicas de evasión
El uso de KillAV, una herramienta para desplegar drivers vulnerables y finalizar procesos de seguridad, también se registró en la red del objetivo. Además, se habilitó RDP para proporcionar acceso remoto a los atacantes, lo que facilita aún más la infiltración en sistemas empresariales.
Contexto del ransomware
El ransomware sigue siendo una amenaza significativa para las empresas, y el panorama de ciberataques evoluciona constantemente. En 2025, se registraron un total de 4,737 ataques de ransomware, lo que representa un ligero aumento respecto al año anterior. Entre los grupos más activos se encuentran Akira, Qilin, Play y INC, entre otros.
### Conclusiones y recomendaciones
Para protegerse contra ataques específicos como el de Osiris, se recomienda a las organizaciones que monitoricen el uso de herramientas de doble uso, restrinjan el acceso a servicios RDP, implementen autenticación multifactor (2FA) y utilicen listas de permitidos para aplicaciones. Además, es crucial tener copias de seguridad almacenadas fuera de las instalaciones.
A medida que el ransomware evoluciona, surgen nuevos tipos de ataques sin cifrado, lo que amplía el ecosistema de extorsión y representa un riesgo adicional para las empresas. La vigilancia constante y la actualización de las estrategias de ciberseguridad son esenciales para mitigar estas amenazas.