47/69 (IT) ประจำวันจันทร์ที่ 26 มกราคม 2569
นักวิจัยจาก Symantec และ VMware Carbon Black เปิดเผยการตรวจพบแรนซัมแวร์สายพันธุ์ใหม่ชื่อ Osiris ซึ่งถูกใช้ในการโจมตีเมื่อเดือนพฤศจิกายน 2568 ต่อผู้ให้บริการแฟรนไชส์ธุรกิจอาหารรายใหญ่ในเอเชียตะวันออกเฉียงใต้ โดยผู้โจมตีอาศัยเทคนิค Bring Your Own Vulnerable Driver (BYOVD) ผ่านไดรเวอร์อันตรายชื่อ POORTRY (หรือ Abyssworker) เพื่อปิดการทำงานของซอฟต์แวร์รักษาความปลอดภัยก่อนปล่อยแรนซัมแวร์ ทั้งนี้ นักวิจัยระบุว่า Osiris ไม่มีความเกี่ยวข้องกับแรนซัมแวร์ชื่อเดียวกันในปี 2559 ที่เป็นสายพันธุ์ย่อยของ Locky
จากการวิเคราะห์เชิงเทคนิค Osiris เป็นแรนซัมแวร์ที่มีความสามารถครบ สามารถหยุดบริการ เข้ารหัสข้อมูล และวางโน้ตเรียกค่าไถ่ได้ รองรับออปชันบรรทัดคำสั่งหลายรูปแบบ เช่น การกำหนดเป้าหมาย การบันทึกล็อก โหมดการเข้ารหัส (บางส่วนหรือทั้งหมด) และการจัดการ Hyper-V มัลแวร์จะข้ามไฟล์บางประเภทและโฟลเดอร์ระบบ เพิ่มนามสกุล .Osiris ให้ไฟล์ที่ถูกเข้ารหัส ลบสำเนาสำรองของระบบ (VSS) และยุติโปรเซสของฐานข้อมูล ระบบสำรอง และแอปเพื่อการทำงาน ใช้การเข้ารหัสแบบผสม ECC และ AES-128-CTR โดยสร้างกุญแจเฉพาะต่อไฟล์ และทิ้งไฟล์โน้ต Osiris-MESSAGE.txt พร้อมรายละเอียดการข่มขู่และช่องทางการเจรจา
ลำดับการโจมตีเริ่มจากการขโมยข้อมูลล่วงหน้าหลายวัน โดยใช้ Rclone อัปโหลดข้อมูลไปยังคลาวด์ Wasabi และใช้เครื่องมือจากการโจมตีในอดีต เช่น เวอร์ชันดัดแปลงของ Mimikatz (kaz.exe) รวมถึงเครื่องมืออเนกประสงค์อย่าง Netscan, Netexec และ MeshAgent นอกจากนี้ ผู้โจมตียังใช้ RustDesk เวอร์ชันปรับแต่ง ปลอมเป็น “WinZip Remote Desktop” เพื่อซ่อนการควบคุมระยะไกล ก่อนจะใช้ไดรเวอร์ POORTRY ในการโจมตีแบบ BYOVD เพื่อปิดการทำงานของระบบป้องกัน (ร่วมกับเครื่องมือ KillAV) และเปิดใช้งาน RDP เพื่อคงการเข้าถึง จากหลักฐานการใช้เครื่องมือและยุทธวิธีซ้ำ นักวิจัยพบความเชื่อมโยงเชิงพฤติกรรมกับกลุ่ม INC (Warble) แม้การระบุแหล่งที่มาอย่างชัดเจนยังไม่สามารถยืนยันได้ และแนะนำให้องค์กรเฝ้าระวังการเกิดขึ้นของแรนซัมแวร์สายพันธุ์ใหม่นี้
