Selon l’enquête de Symantec et de la Carbon Black Threat Hunter Team, une nouvelle famille de ransomware baptisée Osiris a été observée lors d’une attaque en novembre 2025 visant un grand opérateur franchisé de restauration en Asie du Sud-Est. Bien qu’elle partage un nom avec une souche de 2016 liée à Locky, les chercheurs indiquent qu’il s’agit d’une famille totalement nouvelle sans lien établi avec l’ancienne.
Faits saillants 🛑
- Type d’attaque : Ransomware (nouvelle famille « Osiris »)
- Cible : opérateur franchisé majeur de la restauration, Asie du Sud-Est
- Attribution : développeurs et modèle RaaS non déterminés ; indices suggérant des liens possibles avec des acteurs liés au ransomware Inc
Aspects techniques clés 🔧
- Usage étendu d’outils Living off the Land et d’outils dual-use
- Emploi d’un pilote malveillant Poortry dans une attaque BYOVD afin de désactiver des solutions de sécurité
- Exfiltration de données vers des buckets Wasabi
- Utilisation d’une version de Mimikatz portant le même nom de fichier « kaz.exe » que celui déjà observé chez des attaquants déployant Inc
IOCs (indicateurs) 🧩
- Nom de fichier : kaz.exe (variante de Mimikatz)
- Pilote malveillant : Poortry
- Destination d’exfiltration : buckets Wasabi
TTPs (techniques, tactiques et procédures) 📌
- Living off the Land
- BYOVD pour neutraliser des outils de sécurité
- Exfiltration de données vers du stockage cloud
- Déploiement de ransomware et collecte d’identifiants via Mimikatz
Il s’agit d’une analyse de menace visant à documenter une nouvelle famille de ransomware, ses liens possibles avec des opérations antérieures (Inc) et les techniques utilisées.
🧠 TTPs et IOCs détectés
TTPs
[‘Living off the Land’, ‘BYOVD pour neutraliser des outils de sécurité’, ‘Exfiltration de données vers du stockage cloud’, ‘Déploiement de ransomware’, ‘Collecte d’identifiants via Mimikatz’]
IOCs
[‘Nom de fichier : kaz.exe’, ‘Pilote malveillant : Poortry’, ‘Destination d’exfiltration : buckets Wasabi’]
File indicators
fff586c95b510e6c8c0e032524026ef22297869a86d14075cd601ca8e20d4a16 - KillAV - 33.exe, payload.exe
c74509fcae41fc9f63667dce960d40907f81fae09957bb558d4c3e6a786dde7d - KillAV - payload.dll
fc39cca5d71b1a9ed3c71cca6f1b86cfe03466624ad78cdb57580dba90847851 - Mimikatz - kaz.exe
d78f7d9b0e4e1f9c6b061fb0993c2f84e22c3e6f32d9db75013bcfbba7b64bc3 - MeshAgent - meshagent64-philip.exe, meshagent.exe, mesh.exe
824e16f0664aaf427286283d0e56fdc0e6fa8698330fa13998df8999f2a6bb61 - KillAV - payload.dll
231e6bee1ee77d70854c1e3600342d8a69c18442f601cd201e033fa13cb8d5a5 - windows.exe
44748c22baec61a0a3bd68b5739736fa15c479a3b28c1a0f9324823fc4e3fe34 - Driver - multia.sys
Ce719c223484157c7f6e52c71aadaf496d0dad77e40b5fc739ca3c51e9d26277 - chromesetup.exe
8c378f6200eec750ed66bde1e54c29b7bd172e503a5874ca2eead4705dd7b515 - Netexec - nxc.exe
79bd876918bac1af641be10cfa3bb96b42c30d18ffba842e0eff8301e7659724 - Rclone - rclone.exe
C189595c36996bdb7dce6ec28cf6906a00cbb5c5fe182e038bf476d74bed349e - Rclone - rclone.exe
5c2f663c8369af70f727cccf6e19248c50d7c157fe9e4db220fbe2b73f75c713 - Osiris ransomware - 1.exe, windows.exe
44e007741f7650d1bd04cca3cd6dfd4f32328c401f95fb2d6d1fafce624cc99e - Rustdesk - winzip.exe
D524ca33a4f20f70cb55985289b047defc46660b6f07f1f286fa579aa70cf57a - MeshAgent - meshagent64-philip.exe
5bd82a1b2db1bdc8ff74cacb53823edd8529dd9311a4248a86537a5b792939f8 - Netscan - netscan.exe
534bd6b99ed0e40ccbefad1656f03cc56dd9cc3f6d990cd7cb87af4cceebe144 - buildx86.exe
39a0565f0c0adc4dc5b45c67134b3b488ddb9d67b417d32e9588235868316fac - chromesetup.exe
Network indicator(s):
ausare[.]net
wesir[.]net
🔗 Source originale : https://www.security.com/threat-intelligence/new-ransomware-osiris