はじめに
2025年11月、東南アジアの主要なフードサービスフランチャイズ企業を標的とした新たなランサムウェアファミリー「Osiris」が発見されました。この脅威は、2016年に確認されたLockyランサムウェアの亜種と同名ですが、セキュリティ研究者らは両者に関連性がなく、全く新しい脅威であることを確認しています。しかし、その活動からは、以前Incランサムウェアオペレーションに関与していた脅威アクターとの関連性が示唆されています。
攻撃手法と利用ツール
攻撃者は、攻撃キャンペーン全体で広範な「Living Off the Land (LOLBins)」バイナリと「デュアルユースツール」を悪用しました。特に注目すべきは、既知の脆弱なドライバーを悪用する「BYOVD (Bring Your Own Vulnerable Driver)」攻撃で、悪意のある「Poortry」ドライバーを駆使し、侵害されたシステム上のセキュリティソフトウェアを無効化しています。
SymantecとCarbon Blackの脅威ハンターチームの調査により、Osirisが開発者不明のユニークなランサムウェアファミリーであることが判明しました。調査では、過去のIncランサムウェアのオペレーションとのいくつかの戦術的な重複が浮上しています。例えば、攻撃者たちは盗難データをWasabiクラウドストレージバケットに外部送信しており、これは2025年10月のIncランサムウェア攻撃でも観測された手法です。さらに、Mimikatzを「kaz.exe」という同一のファイル名で展開しており、これもIncランサムウェアオペレーターが以前使用していたものです。これは戦術的な模倣か、元Incアフィリエイトの直接関与を示唆しています。
Osirisランサムウェアの技術的特徴
Osirisは、サービス終了、選択的なフォルダおよびファイル拡張子の暗号化、プロセス終了、身代金メモの展開といった標準的なランサムウェア機能を備えています。このマルウェアは、カスタマイズされた操作のために複数のコマンドラインパラメータを受け入れます。これには、ログファイル指定、ファイルおよびディレクトリパスの暗号化ターゲット、Hyper-V VMの無効化と設定削除、VM固有のスキップ、そして部分(「head」)または完全(「full」)ファイル暗号化モードの選択などが含まれます。
ランサムウェアは、実行可能ファイル(.exe、.dll、.msi)、メディアファイル(.mp4、.mp3、.mov、.avi)、システムファイル(.sys、.inf)などの特定のファイルタイプ、およびWindows、PerfLogs、ProgramData、System Volume Informationなどの重要なWindowsディレクトリを暗号化から戦略的に除外します。暗号化完了後、影響を受けたファイルには「.Osiris」拡張子が付加され、Volume Shadow Copy Service(VSS)を使用してシステムスナップショットが削除されます。
Osirisは、SQL、Oracle、MySQLなどのデータベース、Microsoft Officeアプリケーション(Excel、Word、Outlook、PowerPoint)、Firefox、Thunderbirdなどのコミュニケーションツール、その他システムサービスを含むデータベースおよび生産性アプリケーションのプロセスを終了させます。また、VSS、SQLサービス、Microsoft Exchange、Veeam、GxVssなどの重要なサービスも停止させます。暗号化には、楕円曲線暗号(ECC)とAES-128-CTRを組み合わせたハイブリッド暗号化スキームが実装されています。各暗号化ファイルは一意のAESキーを受け取り、非同期I/O要求はcompletionIOPortによって管理されます。被害者は、「Osiris-MESSAGE.txt」という身代金メモを受け取り、そこには盗難データの主張と交渉用チャットリンクが含まれています。
攻撃タイムラインと利用ツール
ランサムウェアの展開に先立つ数日前から、攻撃者はRcloneを使用してデータをWasabiクラウドストレージバケットに外部送信していました。脅威アクターは、
- Netscan(ネットワーク偵察)
- Netexec(ラテラルムーブメント)
- MeshAgent(リモートアクセス)
など、複数のデュアルユースツールを展開しています。特に、カスタマイズされたRustdeskリモート監視・管理ツールを「WinZip Remote Desktop」と偽装し、WinZipのアイコンを使用することで検出を回避しようとしました。
さらに、Malwarebytesアンチエクスプロイトドライバーを装ったAbyssworker/Poortry悪意のあるドライバーを展開し、BYOVD攻撃によってセキュリティソフトウェアを無効化しています。Poortryは2022年にGoogleのMandiantによって初めて文書化され、2024年から2025年にかけてMedusaランサムウェアキャンペーンでも使用されていました。Poortryは通常、Stonestopローダーと連携して動作し、ドライバーをインストールして被害マシン上でその動作を指示します。BYOVDは現在、ランサムウェアオペレーター間で最も一般的な防御無効化手法となっています。
Poortryは従来のBYOVDドライバーとは異なり、攻撃者が悪意のある目的で開発し、正当なコード署名を取得した可能性が示唆されています。攻撃者はまた、セキュリティプロセスを終了させるための専門ツールである「KillAV」を展開し、永続的なリモートアクセスを可能にするためにRDP(Remote Desktop Protocol)を有効にしていました。
今後の影響と関連性
Osirisランサムウェアが広範な脅威ランドスケープに与える全体的な影響はまだ不確かです。しかし、このマルウェアは経験豊富なオペレーターによって巧妙に操られ、効果的な暗号化能力を有していることを示しています。特に、Wasabiクラウドストレージの使用や同一のMimikatz展開パターンなど、Incランサムウェアオペレーションとの戦術的な重複は、このグループまたはそのアフィリエイトとの潜在的なつながりを強く示唆しています。