Nel panorama della sicurezza informatica emerge Osiris, una nuova famiglia di ransomware individuata durante un attacco contro un grande operatore del settore food service nel Sud Est asiatico, osservato a novembre 2025. Il caso è rilevante perché combina estorsione, furto di dati e tecniche avanzate di evasione, con un focus particolare sugli endpoint Windows e sulla disattivazione dei controlli di sicurezza.

L’elemento più distintivo dell’attacco è l’uso del driver malevolo POORTRY in una strategia BYOVD (bring your own vulnerable driver). In molti scenari BYOVD gli aggressori caricano driver legittimi ma vulnerabili per ottenere privilegi elevati e spegnere i sistemi di difesa. In questo episodio, invece, POORTRY risulta progettato appositamente per elevare i privilegi e terminare strumenti di sicurezza, rendendo la catena di attacco più mirata e aggressiva.

A supporto della fase di neutralizzazione delle difese è stato inoltre segnalato l’impiego di utility note per terminare processi di sicurezza tramite driver vulnerabili, insieme all’abilitazione di RDP per mantenere accesso remoto.

Prima della cifratura, gli attaccanti avrebbero esfiltrato dati sensibili usando Rclone verso bucket di cloud storage Wasabi, confermando il modello di doppia estorsione in cui la sottrazione di informazioni precede il blocco dei sistemi.

Nella fase operativa sono stati osservati anche strumenti dual use e living off the land, utili per ricognizione e movimento laterale, come Netscan e Netexec, oltre a un agente di gestione remota e una versione personalizzata di un software di desktop remoto. Per il furto di credenziali viene citato anche l’uso di un tool con un nome file già visto in campagne precedenti, elemento che suggerisce possibili collegamenti con altri ecosistemi ransomware.

Sul piano tecnico Osiris utilizza una cifratura ibrida con chiave unica per ogni file e include funzionalità tipiche dei ransomware moderni: arresto di servizi, selezione di cartelle ed estensioni, terminazione di processi e rilascio della nota di riscatto. Di default mira a interrompere numerosi processi e servizi legati a produttività, posta elettronica, browser, backup e copie shadow, aumentando l’impatto sull’operatività aziendale.

Dal punto di vista della difesa, diventa cruciale monitorare l’uso anomalo di tool dual use, ridurre l’esposizione di RDP, imporre MFA, applicare allowlisting dove possibile e mantenere backup offline o off site per limitare i danni di un attacco ransomware con esfiltrazione.