Especialistas em segurança das equipes da Carbon Black e da Symantec divulgaram novas informações sobre a família de ransomware Osiris, que tem atingido vários países asiáticos desde novembro de 2025. As análises apontam que as campanhas recentes passaram a empregar um driver malicioso chamado POORTRY, distribuído às vítimas com o objetivo de neutralizar soluções de segurança instaladas nos sistemas.
Esse malware não apresenta relação com uma variante homônima do ransomware Locky identificada em 2016. Comercializado no modelo ransomware-as-a-service, o Osiris demonstra indícios de ligação com o grupo INC — também conhecido como Warble — que esteve ativo ao longo de 2024. As operações seguem a estratégia living-off-the-land, envolvendo exfiltração de dados por meio de buckets do Wasabi e o uso de uma versão da ferramenta Mimikatz, comportamento já observado anteriormente em ataques atribuídos ao INC.
Operações do ransomware Osiris
Um dos diferenciais dessas novas investidas é a utilização de ferramentas como Netscan, Netexec, MeshAgent e Rustdesk. O driver POORTRY também se destaca de outros componentes maliciosos semelhantes por ter sido desenvolvido especificamente para escalar privilégios e encerrar processos de defesa, em vez de explorar softwares vulneráveis dentro da rede comprometida.
O ecossistema de ransomware segue altamente dinâmico, com grupos sendo desarticulados enquanto novos atores surgem rapidamente para ocupar seu espaço. Ao longo de 2025, alguns dos principais nomes envolvidos nesse tipo de ameaça foram Akira (ou Darter), Qilin (Stinkbug), Play, INC, SafePay, RansomHub, Dragonforce, Sinobi, Rhysida e CACTUS.
No contexto brasileiro, foi registrada atividade relevante do grupo Makop, conhecido por explorar acessos remotos e implantar drivers maliciosos. Como medidas de mitigação, os pesquisadores recomendam que as organizações acompanhem de perto o uso de ferramentas de propósito duplo, limitem o acesso remoto via RDP, adotem autenticação em dois fatores e bloqueiem a instalação de aplicativos considerados suspeitos.