サイバーニュース.jp

世界のサイバーなニュースを配信

新型「Osirisランサムウェア」がPOORTRYドライバーを悪用したBYOVD攻撃で出現

カテゴリ:

新型Osirisランサムウェアの登場

2025年11月、東南アジアの主要な食品サービスフランチャイズ運営企業が標的となり、新たなランサムウェアファミリー「Osiris」が確認されました。この攻撃では、「POORTRY」と呼ばれる悪意あるドライバーが、既知の攻撃手法である「BYOVD(Bring Your Own Vulnerable Driver:脆弱なドライバー持ち込み)攻撃」の一部として利用され、セキュリティソフトウェアを無効化していました。

特筆すべきは、このOsirisが全く新しい系統のランサムウェアであると評価されており、2016年12月に出現したLockyランサムウェアの亜種とは異なる点です。現時点では、開発者の特定や、RaaS(Ransomware-as-a-Service)として提供されているかどうかの詳細は不明です。

攻撃手法とINCランサムウェアとの関連性

SymantecおよびCarbon Blackの脅威ハンターチームによると、この攻撃を実行した脅威アクターは、以前「INCランサムウェア(Warble)」に関与していた可能性があると指摘されています。その根拠として、データ流出のためにWasabiバケットが使用されたこと、またINCランサムウェア攻撃で以前に「kaz.exe」という同じファイル名で使われたMimikatzのバージョンが今回も使われたことが挙げられます。

今回の攻撃では、標準的なシステムツールや汎用ツール、さらにカスタムバージョンのRustdeskリモートデスクトップソフトウェアなど、多岐にわたるツールが使用されました。特にPOORTRYドライバーは、従来のBYOVD攻撃が正規の脆弱なドライバーを悪用するのとは異なり、権限昇格とセキュリティツールの終了に特化して設計されたオーダーメイドのドライバーです。また、セキュリティプロセス終了のために脆弱なドライバーを展開するツール「KillAV」も標的ネットワークに展開されており、RDP(リモートデスクトッププロトコル)も有効化され、攻撃者にリモートアクセスを許していた可能性が高いとみられています。

Osirisランサムウェアの機能と挙動

Osirisは「効果的な暗号化ペイロード」と評されており、経験豊富な攻撃者によって利用されていると考えられます。その主な機能は以下の通りです。

  • ハイブリッド暗号化スキームを使用し、ファイルごとに固有の暗号化キーを生成。
  • サービスを停止させ、暗号化の対象となるフォルダや拡張子を指定可能。
  • プロセスを強制終了させる。
  • 身代金要求メモをドロップする。

デフォルトでは、Microsoft Office、Exchange、Mozilla Firefox、WordPad、Notepad、Volume Shadow Copy、Veeamなど、広範なプロセスやサービスを停止させるように設計されています。

2025年のランサムウェア動向と注目すべき攻撃事例

ランサムウェアは依然として企業にとって重大な脅威であり、その状況は常に変化しています。2025年には合計4,737件のランサムウェア攻撃が確認され、これは2024年の4,701件から0.8%の増加です。昨年最も活発だったアクターは、Akira、Qilin、Play、INC、SafePay、RansomHub、DragonForce、Sinobi、Rhysida、CACTUSでした。

この他にも、以下のような注目すべき動向が報告されています。

  • Akiraランサムウェア: 2025年半ばから後半にかけて、脆弱なThrottlestopドライバー、Windows CardSpaceユーザーインターフェースエージェント、Microsoft Media Foundation Protected Pipelineを悪用し、Bumblebeeローダーをサイドロードする攻撃が観測されました。また、M&A時のSonicWall SSL VPNの悪用や、ClickFix型CAPTCHA検証ルアーを用いたSectopRAT(.NETリモートアクセス型トロイの木馬)の配布も確認されています。
  • LockBit(Syrphid): 2024年初頭の法執行機関による活動停止作戦にもかかわらず、インフラを維持し、複数のOSおよび仮想化プラットフォームを標的とするLockBit 5.0の亜種をリリースしました。LockBit 5.0の重要なアップデートとして、ローダーと主要ペイロードを分離する2段階ランサムウェア展開モデルが導入され、回避、モジュール性、破壊的影響が最大化されています。
  • Sicarii: 2025年後半に表面化した新しいRaaSで、現時点での被害者は1件のみです。このグループは自身をイスラエル/ユダヤ系と主張していますが、オンライン活動は主にロシア語で行われ、共有されるヘブライ語のコンテンツには文法上および意味上の誤りがあることから、偽旗作戦の可能性が指摘されています。
  • Storm-2603(CL-CRI-1040 / Gold Salem): Warlock、LockBit、Babukランサムウェア展開に先立つ活動として、正規のデジタルフォレンジックおよびインシデントレスポンス(DFIR)ツールであるVelociraptorを悪用しているのが観測されています。この攻撃では、「rsndispot.sys」と「kl.sys」の2つのドライバーが「vmtools.exe」とともにBYOVD攻撃に使用され、セキュリティソリューションを無効化していました。
  • Makopランサムウェア: インド、ブラジル、ドイツの組織が、露出した安全でないRDPシステムを悪用したMakopランサムウェア攻撃の標的となっています。この攻撃では、「hlpdrv.sys」と「ThrottleStop.sys」ドライバーがBYOVD攻撃に使用されるほか、GuLoaderがランサムウェアペイロードの配信に用いられており、ローダーを介してMakopが配布された初の事例として記録されています。
  • Obscuraランサムウェア: 暗号化プロセスにおけるセキュリティ上の欠陥により、大容量ファイルが回復不能になることが判明しました。1GBを超えるファイルの場合、暗号化された一時キーがファイルのフッターに書き込まれないため、復号に必要なキーが失われ、ファイルは永久に回復できなくなります。
  • 01flipランサムウェア: Rustで記述されたこの新しいランサムウェアファミリーは、WindowsとLinuxの両システムを標的とし、アジア太平洋地域の限られた被害者を狙っています。攻撃チェーンには、既知のセキュリティ脆弱性(例:CVE-2019-11580)の悪用が含まれ、金銭目的の脅威アクターCL-CRI-1036によるものとされています。

組織が取るべき対策

標的型攻撃から組織を保護するために、以下の対策が推奨されます。

  • 汎用ツールの使用状況を監視する。
  • RDPサービスへのアクセスを制限する。
  • 多要素認証(MFA)を強制する。
  • 可能な場合はアプリケーションホワイトリストを使用する。
  • バックアップコピーをオフサイトに保管する。

今後の脅威の展望

暗号化型ランサムウェアによる攻撃は依然として蔓延しており、脅威であり続けていますが、新しいタイプの暗号化を伴わない攻撃の出現により、より広範な恐喝エコシステムが形成されつつあります。ランサムウェアは、このエコシステムの単なる一要素となるかもしれません。

元記事: https://thehackernews.com/2026/01/new-osiris-ransomware-emerges-as-new.html

投稿をさらに読み込む