⚠️Nuevo ransomware Osiris emerge con técnicas avanzadas y ataque BYOVD

Por: Fecha de publicación:

 

Investigadores de ciberseguridad han identificado una nueva familia de ransomware llamada Osiris, que ha comenzado a ser usada en ataques dirigidos contra organizaciones de alto perfil, incluyendo un importante operador de una franquicia de servicios alimentarios en el Sudeste Asiático durante noviembre de 2025.

Este malware representa una amenaza moderna no solo por su capacidad de cifrado, sino por la forma en que elude defensas a nivel del sistema utilizando un driver malicioso llamado POORTRY en un ataque conocido como BYOVD (Bring Your Own Vulnerable Driver, o “trae tu propio controlador vulnerable”).

¿Qué es el ransomware Osiris?

Osiris es una familia de ransomware totalmente nueva, sin relación con variantes anteriores que llevaban ese nombre ni con familias como Locky o malware bancario con nombres similares.

Según el equipo Threat Hunter de Symantec y Carbon Black, Osiris emplea un esquema de encriptación híbrido (combinando algoritmos para proteger las claves y cada archivo afectado) y puede:

  • detener servicios y procesos críticos antes de cifrar archivos;

  • especificar carpetas y extensiones objetivo;

  • eliminar copias de seguridad locales y dejar una nota de rescate;

  • exfiltrar datos antes del cifrado.

¿Cómo inicia y se desarrolla el ataque?

Los ataques documentados muestran una cadena de acciones sofisticada:

  1. Exfiltración de datos previos
    Antes de cifrar cualquier archivo, los atacantes roban datos sensibles del entorno comprometido y los suben a un almacenamiento en la nube (por ejemplo, buckets de Wasabi).

  2. Técnica BYOVD con driver POORTRY
    En lugar de depender de drivers legítimos vulnerables, los atacantes usan un driver personalizado llamado POORTRY que les permite desactivar software de seguridad en el equipo objetivo (como EDR, antivirus o herramientas de monitoreo) y obtener privilegios elevados.

  3. Uso de herramientas auxiliares
    El ataque también incluyó el uso de herramientas de administración remota y diagnóstico como Netscan, Netexec y MeshAgent, además de una versión modificada de Rustdesk disfrazada para ocultar su propósito malicioso.

  4. Cifrado y despliegue del ransomware
    Finalmente, se ejecuta Osiris y los archivos se cifran con una extensión “.Osiris”, bloqueando el acceso a los datos de la víctima y dejando una nota con instrucciones para el pago del rescate.

 ¿Qué hace diferente a Osiris?

Lo que distingue a Osiris de otras familias de ransomware es:

  • Su método de evasión: usar un driver malicioso para deshabilitar defensas antes de la ejecución principal.

  • El uso de múltiples herramientas de administración y recopilación de información que permiten una fase de reconocimiento y movimiento lateral más profunda.

  • La posible relación con actores experimentados, dado que algunos artefactos del ataque (como versiones reutilizadas de herramientas de robo de credenciales) coinciden con campañas previas de grupos como INC.

Aunque aún no se sabe con certeza si Osiris es operado como Ransomware-as-a-Service (RaaS), los indicios técnicos sugieren que podría estar en manos de un equipo con experiencia en ataques dirigidos de alto impacto. 

Impacto y tácticas de defensa

Este tipo de ransomware es especialmente peligroso porque:

  • puede anular protecciones tradicionales de seguridad,

  • se despliega en entornos corporativos complejos o empresariales,

  • puede llevar a pérdida de datos, extorsión y exposición pública de información robada.

Para protegerse, los especialistas recomiendan:

  • monitorear la introducción de drivers desconocidos o no firmados,

  • implementar listas blancas de controladores confiables,

  • restringir accesos a RDP o servicios remotos innecesarios,

  • utilizar respaldo offline y segmentación de redes.

También es esencial auditar y aplicar parches rápidamente en todos los sistemas y emplear soluciones de detección y respuesta que puedan identificar comportamientos sospechosos, no solo firmas de malware conocidas.

La aparición de Osiris es un recordatorio de que el panorama del ransomware sigue evolucionando rápidamente. Aunque muchas familias han sido identificadas y/o desmanteladas por las autoridades, nuevas versiones con tácticas más agresivas y evasivas siguen emergiendo. La utilización de técnicas como BYOVD con drivers maliciosos subraya la necesidad de que empresas y administradores fortalezcan sus defensas desde múltiples frentes.

Estar al día con las mejores prácticas de seguridad, mantener respaldos robustos y tener visibilidad continua son medidas clave para contrarrestar amenazas cada vez más sofisticadas como Osiris.

Comentarios

Publicar un comentario

Entradas más populares de este blog

🛡️ Nueva vulnerabilidad crítica en Windows SMB Client puede exponer entornos empresariales completos (CVE-2025-33073)

Por: Fecha de publicación:
Imagen
El 19 de enero de 2026 , se publicó un reporte técnico que revela una vulnerabilidad de seguridad grave en el cliente SMB de Windows que afecta entornos corporativos y redes con Active Directory. Esta falla está catalogada como CVE-2025-33073 y permite a atacantes escalar privilegios y comprometer infraestructuras completas si no se han aplicado las actualizaciones recomendadas por Microsoft.  📌 ¿Qué es SMB y por qué importa? SMB ( Server Message Block ) es un protocolo de red ampliamente usado en sistemas Windows para compartir archivos, impresoras y autenticación entre máquinas. El cliente SMB es la parte del sistema operativo que inicia conexiones a recursos remotos. Este componente también participa en el proceso de autenticación con servicios centrales como Active Directory (AD) , que es el corazón de la gestión de usuarios, permisos y seguridad en casi todas las redes empresariales basadas en Windows.  🔍 ¿En qué consiste esta vulnerabilidad? La falla reside en un mec...
Leer más

Raaga Data Breach: Más de 10 millones de cuentas expuestas en la Dark Web

Por: Fecha de publicación:
Imagen
En diciembre de 2025 se detectó una filtración de datos masiva que afectó a la plataforma Raaga , un popular servicio de streaming de música con base en India . Según reportes de seguridad, el incidente comprometió información personal de más de 10.2 millones de usuarios , y parte de esa base de datos fue publicada para su venta en foros de hacking de la Dark Web . ¿Qué datos se vieron comprometidos? Los datos filtrados incluían información muy sensible de los usuarios, entre ellos: Nombres completos Direcciones de correo electrónico Género y edad (incluidas fechas parciales de nacimiento) Ubicación geográfica y códigos postales Contraseñas almacenadas como hashes MD5 sin “salt” Este último punto es especialmente grave: MD5 sin sal es un algoritmo de hashing obsoleto y muy débil que puede ser descifrado rápidamente con hardware moderno o técnicas automatizadas. Esto permite a los atacantes reconstruir las contraseñas en texto claro con relativa facilidad.  ¿Cómo pudo ...
Leer más

¿La IA aumenta nuestra velocidad en cuanto a productividad?

Por: Fecha de publicación:
Imagen
  Un estudio experimental de Model Evaluation and Transparency Research (METR) midió cómo afecta el uso de herramientas de IA (por ejemplo, asistentes de código como Cursor Pro con modelos como Claude 3.5/3.7 ) a desarrolladores con experiencia trabajando en repositorios de código abierto que conocían bien Los desarrolladores experimentados tardaron un 19% más de tiempo en completar tareas cuando usaron IA comparado con cuando no la usaron. Y antes de usarla, se esperaba que la IA acelerara su trabajo hasta ~24% , y después seguían creyendo que estaban más rápidos (~20%) , aunque los datos mostraban lo contrario.  Esto tiene sus motivos, un uso imperfecto de las herramientas(prompts demasiado simples), familiaridad aún limitada con las interfaces de la IA, estándares de calidad muy altos en el proyecto exigido, insuficiente cobertura de casos complejos por parte de los modelos de IA, distraerse explorando resultados de la IA en vez de avanzar a lo propuesto, en resumidas pal...
Leer más