💵 Появилось новое семейство вирусов-вымогателей

🔁 Появился новый штамм вируса-вымогателя Osiris, использующий драйвер POORTRY в атаке BYOVD.

💻 Как сообщили представители команд Symantec и Carbon Black Threat Hunter Team, в атаке использовался вредоносный драйвер POORTRY в рамках известной методики, называемой «использование собственного уязвимого драйвера» (BYOVD), для отключения программного обеспечения безопасности.

🎇 Стоит отметить, что Osiris считается совершенно новым штаммом программы-вымогателя, не имеющим ничего общего с другим вариантом с тем же названием , появившимся в декабре 2016 года как разновидность программы-вымогателя Locky. В настоящее время неизвестно, кто является разработчиками этой программы-вымогателя, и рекламируется ли она как услуга-вымогатель (RaaS).

🔗 Однако специалисты заявили, что обнаружили признаки, указывающие на то, что злоумышленники, развернувшие программу-вымогатель, могли ранее быть связаны с программой-вымогателем INC (также известной как Warble).

⏺️ «Утечка данных злоумышленниками в хранилища Wasabi, а также использование версии Mimikatz, ранее применявшейся злоумышленниками с тем же именем файла (kaz.exe) при развертывании программы-вымогателя INC, указывают на потенциальную связь между этой атакой и некоторыми атаками, связанными с INC».

☁️ POORTRY несколько отличается от традиционных атак BYOVD тем, что использует специально разработанный драйвер, предназначенный для повышения привилегий и завершения работы средств безопасности, в отличие от развертывания легитимного, но уязвимого драйвера в целевой сети.

👉 Для защиты от целенаправленных атак организациям рекомендуется отслеживать использование инструментов двойного назначения, ограничивать доступ к службам RDP, внедрять многофакторную аутентификацию (2FA), использовать список разрешенных приложений там, где это применимо, и осуществлять хранение резервных копий вне офиса.

❗️ Будьте внимательны!

#ransomware #osiris #poortry

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером