文章总结： 新型Osiris勒索软件利用POORTRY驱动程序发起BYOVD攻击，禁用安全软件并加密数据，攻击者疑似与INC勒索软件关联。该软件具备高效加密及进程终止能力，使用双用途工具窃取信息。建议限制RDP、强制多因素认证及实施离线备份以防范威胁。 综合评分： 95 文章分类： 恶意软件,威胁情报,数据泄露,安全运营

新型 Osiris 勒索软件出现，利用 POORTRY 驱动程序发起 BYOVD 攻击

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年1月23日 12:38 北京

网络安全研究人员披露了一种名为Osiris的新型勒索软件家族的详细信息，该软件于 2025 年 11 月攻击了东南亚一家大型食品服务特许经营商。

赛门铁克和 Carbon Black 威胁猎手团队表示，此次攻击利用了名为POORTRY的恶意驱动程序，这是自带易受攻击的驱动程序 (BYOVD) 这种已知技术的一部分，目的是解除安全软件的武装。

值得注意的是，Osiris 被评估为一种全新的勒索软件，与 2016 年 12 月出现的同名变种（Locky 勒索软件的一个迭代版本）没有任何相似之处。目前尚不清楚该勒索软件的开发者是谁，也不清楚它是否以勒索软件即服务 (RaaS) 的形式进行推广。

然而，博通旗下的网络安全部门表示，他们发现了一些线索，表明部署勒索软件的威胁行为者可能之前与INC 勒索软件（又名 Warble）有关。

该公司在一份与黑客新闻分享的报告中表示：“此次攻击使用了各种各样的野外生存工具和双用途工具，以及一个恶意的 POORTRY 驱动程序，该驱动程序很可能被用作自带易受攻击的驱动程序 (BYOVD) 攻击的一部分，以禁用安全软件。 ”

“攻击者将数据泄露到 Wasabi 存储桶，并使用了之前攻击者部署 INC 勒索软件时使用过的同名 Mimikatz 版本 (kaz.exe)，这表明此次攻击与一些涉及 INC 的攻击之间可能存在联系。”

Osiris 被描述为一种“高效的加密载荷”，很可能被经验丰富的攻击者使用。它采用混合加密方案，并为每个文件使用唯一的加密密钥。此外，它还具有很强的灵活性，可以停止服务、指定需要加密的文件夹和文件扩展名、终止进程，并投放勒索信。

默认情况下，它旨在终止与 Microsoft Office、Exchange、Mozilla Firefox、WordPad、记事本、卷影复制服务和 Veeam 等相关的众多进程和服务。

目标网络上恶意活动的最初迹象包括：在勒索软件部署之前，攻击者使用 Rclone 将敏感数据窃取到 Wasabi 云存储桶中。此次攻击还使用了多种双用途工具，例如 Netscan、Netexec 和 MeshAgent，以及定制版的 Rustdesk 远程桌面软件。

POORTRY 与传统的 BYOVD 攻击略有不同，它使用专门设计的定制驱动程序来提升权限和终止安全工具，而不是将合法但易受攻击的驱动程序部署到目标网络。

赛门铁克和Carbon Black威胁猎手团队指出：“KillAV是一款用于部署易受攻击驱动程序以终止安全进程的工具，它也被部署在目标网络上。此外，该网络还启用了远程桌面协议（RDP），这很可能是为了让攻击者获得远程访问权限。”

勒索软件仍然是企业面临的重大威胁，其形势瞬息万变，一些组织销声匿迹，而另一些组织则迅速崛起或取而代之。赛门铁克和Carbon Black对数据泄露网站的分析显示，勒索软件攻击者声称在2025年共发动了4737次攻击，高于2024年的4701次，增幅为0.8%。

过去一年中最活跃的参与者包括 Akira（又名 Darter 或 Howling Scorpius）、Qilin（又名 Stinkbug 或 Water Galura）、Play（又名 Balloonfly）、INC、SafePay、RansomHub（又名 Greenbottle）、DragonForce（又名 Hackledorb）、Sinobi、Rhysida 和 CACTUS。该领域其他一些值得关注的发展如下：

• 使用 Akira 勒索软件的威胁行为者利用了存在漏洞的 Throttlestop 驱动程序，以及 Windows CardSpace 用户界面代理和 Microsoft Media Foundation Protected Pipeline，在 2025 年中后期观察到的攻击中侧载了Bumblebee加载器。

• Akira勒索软件攻击活动还利用SonicWall SSL VPN在并购过程中入侵中小企业环境，最终获取对收购方大型企业的访问权限。另一起Akira攻击被发现利用ClickFix式的验证码诱饵投放名为SectopRAT的.NET远程访问木马，该木马可作为远程控制和勒索软件传播的渠道。

• LockBit（又名 Syrphid）于 2025 年 10 月与 DragonForce 和 Qilin结盟，尽管执法部门在 2024 年初发起了一项旨在关闭其运营的行动，但该组织仍继续维护其基础设施。它还发布了针对多种操作系统和虚拟化平台的LockBit 5.0变种。LockBit 5.0 的一项重大更新是引入了两阶段勒索软件部署模型，该模型将加载程序与主有效载荷分离，同时最大限度地提高了规避能力、模块化程度和破坏性影响。

• 一个名为Sicarii的新型RaaS（远程访问即服务）行动自2025年末首次出现以来，仅造成一人死亡。虽然该组织明确自称是以色列/犹太人，但分析发现，其地下网络活动主要使用俄语，且该威胁行为者分享的希伯来语内容存在语法和语义错误。这引发了人们对其可能采取伪旗行动的怀疑。Sicarii的主要运营者使用Telegram账号“@Skibcum”。

• 名为Storm-2603（又名 CL-CRI-1040 或 Gold Salem）的威胁行为者被发现利用合法的Velociraptor数字取证和事件响应 (DFIR) 工具，作为部署 Warlock、LockBit 和 Babuk 勒索软件的前期活动。这些攻击还利用了两个驱动程序（“rsndispot.sys”和“kl.sys”）以及“vmtools.exe”，通过 BYOVD 攻击禁用安全解决方案。

• 印度、巴西和德国的实体已成为Makop勒索软件攻击的目标。该攻击利用暴露且不安全的 RDP 系统部署工具，用于网络扫描、权限提升、禁用安全软件、凭证转储和勒索软件部署。除了使用“hlpdrv.sys”和“ThrottleStop.sys”驱动程序进行 BYOVD 攻击外，这些攻击还部署了 GuLoader 来传递勒索软件有效载荷。这是首次记录到 Makop 通过加载器进行传播的案例。

• 勒索软件攻击也利用已被攻破的 RDP 凭证获取初始访问权限，以执行侦察、权限提升、通过 RDP 进行横向移动，然后在入侵的第六天将数据泄露到 temp[.]sh，并在三天后部署 Lynx 勒索软件。

• 与Obscura 勒索软件相关的加密过程存在安全漏洞，会导致大型文件无法恢复。Coveware 公司表示：“该软件在加密大型文件时，未能将加密的临时密钥写入文件页脚。对于超过 1GB 的文件，页脚根本不会被创建——这意味着解密所需的密钥已经丢失。这些文件将永久无法恢复。”

• 一种名为01flip的新型勒索软件家族已在亚太地区发起攻击，目标用户有限。该勒索软件使用 Rust 语言编写，可攻击 Windows 和 Linux 系统。其攻击链涉及利用已知的安全漏洞（例如 CVE-2019-11580）入侵目标网络。该勒索软件已被认定为由一个名为 CL-CRI-1036 的以经济利益为目的的威胁组织所为。

为防止定向攻击，建议各组织监控双用途工具的使用情况，限制对 RDP 服务的访问，强制执行多因素身份验证 (2FA)，在适用情况下使用应用程序白名单，并实施异地备份副本存储。

赛门铁克和Carbon Black表示：“虽然涉及加密勒索软件的攻击仍然像以往一样普遍，并且仍然构成威胁，但新型无加密攻击的出现增加了另一层风险，创造了一个更广泛的勒索生态系统，勒索软件可能只是其中的一个组成部分。 ”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《新型 Osiris 勒索软件出现，利用 POORTRY 驱动程序发起 BYOVD 攻击》