Investigadores de ciberseguridad han revelado detalles de una nueva familia de ransomware llamada Osiris que se dirigió a un importante operador franquiciado de servicios de alimentos en el sudeste asiático en noviembre de 2025.
El ataque aprovechó un controlador malicioso llamado POORTRY como parte de una técnica conocida denominada «traiga su propio controlador vulnerable» (BYOVD) para desarmar el software de seguridad, dijo Symantec y Carbon Black Threat Hunter Team.
Vale la pena señalar que se considera que Osiris es una cepa de ransomware completamente nueva, que no comparte similitudes con otra variante del mismo nombre que surgió en diciembre de 2016 como una iteración del ransomware Locky. Actualmente no se sabe quiénes son los desarrolladores del casillero o si se anuncia como un ransomware como servicio (RaaS).
Sin embargo, la división de ciberseguridad propiedad de Broadcom dijo que identificó pistas que sugieren que los actores de amenazas que implementaron el ransomware pueden haber estado asociados previamente con INC ransomware (también conocido como Warble).
«En este ataque se utilizó una amplia gama de herramientas de doble uso y que viven de la tierra, al igual que un controlador POORTRY malicioso, que probablemente se utilizó como parte de un ataque de «traiga su propio controlador vulnerable» (BYOVD) para desactivar el software de seguridad», dijo la compañía en un informe compartido con The Hacker News.
«La exfiltración de datos por parte de los atacantes a depósitos de Wasabi y el uso de una versión de Mimikatz que fue utilizada anteriormente, con el mismo nombre de archivo (kaz.exe), por los atacantes que implementaron el ransomware INC, apuntan a vínculos potenciales entre este ataque y algunos ataques que involucran a INC».
Osiris, descrito como una «carga útil de cifrado eficaz» que probablemente utilicen atacantes experimentados, utiliza un esquema de cifrado híbrido y una clave de cifrado única para cada archivo. También es flexible porque puede detener servicios, especificar qué carpetas y extensiones deben cifrarse, finalizar procesos y enviar una nota de rescate.
De forma predeterminada, está diseñado para eliminar una larga lista de procesos y servicios relacionados con Microsoft Office, Exchange, Mozilla Firefox, WordPad, Notepad, Volume Shadow Copy y Veeam, entre otros.
Los primeros signos de actividad maliciosa en la red del objetivo involucraron la filtración de datos confidenciales utilizando Rclone a un depósito de almacenamiento en la nube de Wasabi antes de la implementación del ransomware. También se utilizaron en el ataque una serie de herramientas de doble uso como Netscan, Netexec y MeshAgent, así como una versión personalizada del software de escritorio remoto Rustdesk.
POORTRY es un poco diferente de los ataques BYOVD tradicionales en que utiliza un controlador personalizado diseñado expresamente para elevar privilegios y finalizar herramientas de seguridad, en lugar de implementar un controlador legítimo pero vulnerable en la red de destino.
«KillAV, que es una herramienta utilizada para implementar controladores vulnerables para finalizar procesos de seguridad, también se implementó en la red del objetivo», señaló el equipo Symantec y Carbon Black Threat Hunter. «También se habilitó RDP en la red, lo que probablemente proporcione a los atacantes acceso remoto».
Este avance se produce cuando el ransomware sigue siendo una importante amenaza empresarial, con el panorama en constante cambio a medida que algunos grupos cierran sus puertas y otros resurgen rápidamente de sus cenizas o se mudan para ocupar su lugar. Según un análisis de sitios de fuga de datos realizado por Symantec y Carbon Black, los actores de ransomware reclamaron un total de 4.737 ataques durante 2025, frente a 4.701 en 2024, un aumento del 0,8%.
Los jugadores más activos durante el año pasado fueron Akira (también conocido como Darter o Howling Scorpius), Qilin (también conocido como Stinkbug o Water Galura), Play (también conocido como Balloonfly), INC, SafePay, RansomHub (también conocido como Greenbottle), DragonForce (también conocido como Hackledorb), Sinobi, Rhysida y CACTUS. Algunos de los otros desarrollos notables en el espacio se enumeran a continuación:
- Los actores de amenazas que utilizan el ransomware Akira han aprovechado un controlador Throttlestop vulnerable, junto con el agente de interfaz de usuario CardSpace de Windows y el canal protegido de Microsoft Media Foundation, para descargar el cargador Bumblebee en ataques observados a mediados o finales de 2025.
- Las campañas de ransomware de Akira también han explotado las VPN SSL de SonicWall para violar entornos de pequeñas y medianas empresas durante fusiones y adquisiciones y, en última instancia, obtener acceso a las empresas adquirentes más grandes. Se ha descubierto que otro ataque de Akira aprovecha los señuelos de verificación CAPTCHA estilo ClickFix para lanzar un troyano de acceso remoto .NET llamado SectopRAT, que sirve como conducto para el control remoto y la entrega de ransomware.
- LockBit (también conocido como Syrphid), que se asoció con DragonForce y Qilin en octubre de 2025, continuó manteniendo su infraestructura a pesar de una operación policial para cerrar sus operaciones a principios de 2024. También lanzó variantes de LockBit 5.0 dirigidas a múltiples sistemas operativos y plataformas de virtualización. Una actualización importante de LockBit 5.0 es la introducción de un modelo de implementación de ransomware de dos etapas que separa el cargador de la carga útil principal y, al mismo tiempo, maximiza la evasión, la modularidad y el impacto destructivo.
- Una nueva operación RaaS denominada Sicarii se ha cobrado solo una víctima desde que apareció por primera vez a finales de 2025. Si bien el grupo se identifica explícitamente como israelí/judío, el análisis ha descubierto que la actividad clandestina en línea se lleva a cabo principalmente en ruso y que el contenido hebreo compartido por el actor de la amenaza contiene errores gramaticales y semánticos. Esto ha planteado la posibilidad de una operación de bandera falsa. El operador principal de Sicarii utiliza la cuenta de Telegram «@Skibcum».
- Se ha observado que el actor de amenazas conocido como Storm-2603 (también conocido como CL-CRI-1040 o Gold Salem) aprovecha la legítima herramienta forense digital y respuesta a incidentes (DFIR) Velociraptor como parte de la actividad precursora que conduce al despliegue de los ransomware Warlock, LockBit y Babuk. Los ataques también utilizaron dos controladores («rsndispot.sys» y «kl.sys») junto con «vmtools.exe» para desactivar las soluciones de seguridad mediante un ataque BYOVD.
- Entidades en India, Brasil y Alemania han sido blanco de ataques de ransomware Makop que explotan sistemas RDP expuestos e inseguros para preparar herramientas para escaneo de red, escalada de privilegios, desactivación de software de seguridad, volcado de credenciales e implementación de ransomware. Los ataques, además de utilizar los controladores «hlpdrv.sys» y «ThrottleStop.sys» para ataques BYOVD, también implementan GuLoader para entregar la carga útil del ransomware. Este es el primer caso documentado de distribución de Makop a través de un cargador.
- Los ataques de ransomware también obtuvieron acceso inicial utilizando credenciales RDP ya comprometidas para realizar reconocimiento, escalada de privilegios, movimiento lateral a través de RDP, seguido de exfiltración de datos a temp(.)sh el sexto día de la intrusión e implementación de ransomware Lynx tres días después.
- Se ha descubierto que una falla de seguridad en el proceso de cifrado asociado con el ransomware Obscura hace que los archivos grandes sean irrecuperables. «Cuando cifra archivos grandes, no escribe la clave temporal cifrada en el pie de página del archivo», dijo Coveware. «Para archivos de más de 1 GB, ese pie de página nunca se crea, lo que significa que la clave necesaria para el descifrado se pierde. Estos archivos son permanentemente irrecuperables».
- Una nueva familia de ransomware llamada 01flip se ha dirigido a un conjunto limitado de víctimas en la región de Asia y el Pacífico. Escrito en Rust, el ransomware puede apuntar a sistemas Windows y Linux. Las cadenas de ataques implican la explotación de vulnerabilidades de seguridad conocidas (por ejemplo, CVE-2019-11580) para afianzarse en las redes objetivo. Se ha atribuido a un actor de amenazas con motivación financiera conocido como CL-CRI-1036.
Para protegerse contra ataques dirigidos, se recomienda a las organizaciones que supervisen el uso de herramientas de doble uso, restrinjan el acceso a los servicios RDP, apliquen la autenticación multifactor (2FA), utilicen listas de aplicaciones permitidas cuando corresponda e implementen el almacenamiento externo de copias de seguridad.
«Si bien los ataques que involucran ransomware cifrado siguen siendo tan frecuentes como siempre y siguen representando una amenaza, la llegada de nuevos tipos de ataques sin cifrado añade otro grado de riesgo, creando un ecosistema de extorsión más amplio del cual el ransomware puede convertirse en sólo un componente», dijeron Symantec y Carbon Black.