Investigadores de ciberseguridad han revelado detalles de una nueva familia de ransomware llamada ” Osiris que se dirigió a un importante franquiciado de servicios de alimentos en el sudeste asiático en noviembre de 2025.
El ataque utilizó un controlador malicioso llamado POORTRY como parte de una técnica conocida llamada Bring Your Own Vulcan Driver (BYOVD) para desactivar el software de seguridad, según el equipo Threat Hunter de Symantec y Carbon Black.
Vale la pena señalar que Osiris está clasificado como un tipo de ransomware completamente nuevo y no tiene similitudes con otra variante del mismo nombre que surgió en diciembre de 2016 como una iteración del ransomware Locky. Actualmente se desconoce quiénes son los desarrolladores del casillero o si se anuncia como ransomware como servicio (RaaS).
Sin embargo, la división de ciberseguridad de Broadcom dijo que encontró evidencia que sugiere que los actores de amenazas que implementaron el ransomware pueden haber estado asociados previamente con INC ransomware (también conocido como Warble).
“En este ataque se utilizó una amplia gama de equipos agrícolas y herramientas de doble uso, así como un controlador POORTRY malicioso que probablemente se utilizó como parte de un ataque BYOVD (Bring Your Own Vulcanic Driver) para desactivar el software de seguridad”, dijo la compañía en un informe compartido con The Hacker News.
“La filtración de datos por parte de los atacantes en depósitos de Wasabi y el uso de una versión de Mimikatz utilizada previamente con el mismo nombre de archivo (kaz.exe) por parte de los atacantes que implementan el ransomware INC indican posibles vínculos entre este ataque y algunos ataques INC”.
Osiris se describe como una “carga útil de cifrado eficaz” que probablemente sea utilizada por atacantes sofisticados. Utiliza un esquema de cifrado híbrido y una clave de cifrado única para cada archivo. También es flexible, ya que puede detener servicios, especificar qué carpetas y extensiones deben cifrarse, finalizar procesos y emitir una nota de rescate.
De forma predeterminada, está diseñado para finalizar una larga lista de procesos y servicios relacionados con Microsoft Office, Exchange, Mozilla Firefox, WordPad, Notepad, Volume Shadow Copy y Veeam y otros.
Los primeros signos de actividad maliciosa en la red del objetivo fueron la filtración de datos confidenciales utilizando Rclone en un depósito de almacenamiento en la nube de Wasabi antes de que se implementara el ransomware. El ataque también utilizó una serie de herramientas de doble uso como Netscan, Netexec y MeshAgent, así como una versión personalizada del software de escritorio remoto Rustdesk.
POORTRY se diferencia un poco de los ataques BYOVD tradicionales en que utiliza un controlador diseñado específicamente para elevar privilegios y cancelar herramientas de seguridad, en lugar de implementar un controlador legítimo pero vulnerable en la red de destino.
“KillAV, una herramienta para implementar controladores vulnerables para finalizar procesos de seguridad, también se implementó en la red del objetivo”, señaló el equipo de Symantec y Carbon Black Threat Hunter. “Además, se habilitó RDP en la red, lo que probablemente permitió el acceso remoto a los atacantes”.
Este avance se produce cuando el ransomware continúa representando una amenaza significativa para las empresas y la situación cambia constantemente a medida que algunos grupos cierran sus puertas y otros resurgen rápidamente de sus cenizas o toman su lugar. Según un análisis de sitios web de fuga de datos realizado por Symantec y Carbon Black, los actores de ransomware informaron de un total de 4.737 ataques en 2025, frente a 4.701 en 2024, un aumento del 0,8%.
Los jugadores más activos el año pasado fueron Akira (también conocido como Darter o Howling Scorpius), Qilin (también conocido como Stinkbug o Water Galura), Play (también conocido como Balloonfly), INC, SafePay, RansomHub (también conocido como Greenbottle), DragonForce (también conocido como Hackledorb), Sinobi, Rhysida y CACTUS. Algunos de los otros desarrollos notables en esta área se enumeran a continuación:
- Los actores de amenazas que utilizaron el ransomware Akira aprovecharon un controlador Throttlestop vulnerable junto con el agente de interfaz de usuario CardSpace de Windows y el canal protegido de Microsoft Media Foundation para descargar el cargador Bumblebee en ataques observados entre mediados y finales de 2025.
- Las campañas de ransomware de Akira también han explotado las VPN SSL de SonicWall para penetrar entornos de pequeñas y medianas empresas durante fusiones y adquisiciones, obteniendo en última instancia acceso a las empresas adquirentes más grandes. Se descubrió que otro ataque de Akira utilizaba cebos de verificación CAPTCHA estilo ClickFix para colocar un troyano de acceso remoto .NET llamado SectopRAT, que sirve como conducto para el control remoto y la entrega de ransomware.
- LockBit (también conocido como Syrphid), que se asoció con DragonForce y Qilin en octubre de 2025, continuó manteniendo su infraestructura a pesar de una acción policial que detuvo sus operaciones a principios de 2024. La compañía también lanzó variantes de LockBit 5.0 dirigidas a múltiples sistemas operativos y plataformas de virtualización. Una actualización importante de LockBit 5.0 es la introducción de un modelo de entrega de ransomware de dos niveles que separa el cargador de la carga útil principal y al mismo tiempo maximiza la evasión, la modularidad y el impacto destructivo.
- Una nueva operación RaaS llamada Sicarii se ha cobrado solo una víctima desde que surgió por primera vez a finales de 2025. Si bien el grupo se identifica explícitamente como israelí/judío, el análisis ha revelado que la actividad clandestina en línea se lleva a cabo principalmente en ruso y que el contenido hebreo compartido por el actor de amenazas contiene errores gramaticales y semánticos. Esto ha aumentado la posibilidad de una operación de bandera falsa. El operador principal de Sicarii utiliza la cuenta de Telegram “@Skibcum”.
- Se observó que el actor de amenazas Storm-2603 (también conocido como CL-CRI-1040 o Gold Salem) utilizaba la legítima herramienta forense digital y respuesta a incidentes (DFIR) Velociraptor como parte de una actividad precursora que condujo al despliegue de los ransomware Warlock, LockBit y Babuk. Los ataques también utilizaron dos controladores (“rsndispot.sys” y “kl.sys”) y “vmtools.exe” para desactivar las soluciones de seguridad mediante un ataque BYOVD.
- Empresas de India, Brasil y Alemania han sido blanco de ataques de ransomware Makop, que explotan sistemas RDP expuestos e inseguros para proporcionar escaneo de red, escalada de privilegios, desactivación de software de seguridad, volcado de credenciales y herramientas de entrega de ransomware. Además de los controladores “hlpdrv.sys” y “ThrottleStop.sys” para los ataques BYOVD, los ataques también utilizan GuLoader para entregar la carga útil del ransomware. Este es el primer caso documentado de distribución de Makop a través de un cargador.
- Los ataques de ransomware también obtuvieron acceso inicialmente aprovechando las credenciales de RDP ya comprometidas para realizar reconocimiento, escalada de privilegios y movimiento lateral a través de RDP, seguido de la exfiltración de datos a temp(.)sh el sexto día de la intrusión y la implementación del ransomware Lynx tres días después.
- Se ha encontrado una vulnerabilidad en el proceso de cifrado asociado con el ransomware Obscura, lo que resulta en la imposibilidad de restaurar archivos grandes. “Cuando se cifran archivos grandes, la clave temporal cifrada no se puede escribir en el pie de página del archivo”, dijo Coveware. “Para archivos de más de 1 GB, este pie de página no se crea en absoluto, lo que significa que se pierde la clave necesaria para el descifrado. Estos archivos son permanentemente irrecuperables”.
- Una nueva familia de ransomware llamada 01flip se ha dirigido a un número limitado de víctimas en la región de Asia y el Pacífico. Escrito en Rust, el ransomware puede atacar sistemas tanto Windows como Linux. Las cadenas de ataques implican la explotación de vulnerabilidades conocidas (por ejemplo, CVE-2019-11580) para afianzarse en las redes objetivo. Se atribuyó a un actor de amenazas con motivación financiera conocido como CL-CRI-1036.
Para protegerse contra ataques dirigidos, se recomienda a las organizaciones monitorear el uso de herramientas de doble uso, restringir el acceso a los servicios RDP, aplicar la autenticación multifactor (2FA), usar listas de aplicaciones permitidas cuando sea apropiado e implementar almacenamiento de respaldo externo.
“Si bien los ataques de ransomware cifrado siguen estando generalizados y siguen representando una amenaza, la aparición de nuevos tipos de ataques sin cifrado añade otro nivel de riesgo y crea un ecosistema de extorsión más amplio del cual el ransomware puede ser sólo un componente”, dijeron Symantec y Carbon Black.
About The Author
