Des chercheurs en cybersécurité ont révélé les détails d'une nouvelle famille de ransomwares appelée Osiris qui ciblait un important opérateur de restauration franchisé en Asie du Sud-Est en novembre 2025.
L'attaque a exploité un pilote malveillant appelé POORTRY dans le cadre d'une technique connue sous le nom de BYOVD (Apportez votre propre pilote vulnérable) pour désactiver le logiciel de sécurité, ont déclaré Symantec et l'équipe Carbon Black Threat Hunter.
Il convient de noter qu’Osiris est considéré comme une toute nouvelle souche de ransomware, ne partageant aucune similitude avec une autre variante du même nom apparue en décembre 2016 comme une itération du ransomware Locky. On ignore actuellement qui sont les développeurs du casier ou s'il est présenté comme un ransomware en tant que service (RaaS).
Cependant, la division de cybersécurité appartenant à Broadcom a déclaré avoir identifié des indices suggérant que les acteurs de la menace qui ont déployé le ransomware pourraient avoir été précédemment associés au ransomware INC (également connu sous le nom de Warble).
“Une large gamme d'outils à double usage et hors sol ont été utilisés dans cette attaque, ainsi qu'un pilote POORTRY malveillant, qui a probablement été utilisé dans le cadre d'une attaque BYOVD (Bring Your Own Vulnable Driver) pour désactiver les logiciels de sécurité”, a déclaré la société dans un rapport partagé avec The Hacker News.
“L'exfiltration par les attaquants des données des référentiels Wasabi et l'utilisation d'une version de Mimikatz qui était auparavant utilisée, avec le même nom de fichier (kaz.exe), par les attaquants qui ont déployé le ransomware INC, indiquent des liens potentiels entre cette attaque et certaines attaques impliquant INC.”
Osiris, décrit comme une « charge utile de chiffrement efficace » susceptible d'être utilisée par des attaquants expérimentés, utilise un schéma de chiffrement hybride et une clé de chiffrement unique pour chaque fichier. Il est également flexible car vous pouvez arrêter les services, spécifier quels dossiers et extensions doivent être chiffrés, mettre fin aux processus et envoyer une demande de rançon.
Par défaut, il est conçu pour supprimer une longue liste de processus et de services liés à Microsoft Office, Exchange, Mozilla Firefox, WordPad, Notepad, Volume Shadow Copy et Veeam, entre autres.
Les premiers signes d'activité malveillante sur le réseau de la cible impliquaient la fuite de données sensibles à l'aide de Rclone vers un référentiel de stockage cloud Wasabi avant le déploiement du ransomware. Un certain nombre d'outils à double usage tels que Netscan, Netexec et MeshAgent, ainsi qu'une version personnalisée du logiciel de bureau à distance Rustdesk, ont également été utilisés dans l'attaque.
POORTRY est légèrement différent des attaques BYOVD traditionnelles dans la mesure où il utilise un pilote personnalisé expressément conçu pour élever les privilèges et mettre fin aux outils de sécurité, plutôt que de déployer un pilote légitime mais vulnérable sur le réseau cible.
“KillAV, qui est un outil utilisé pour déployer des pilotes vulnérables afin de mettre fin aux processus de sécurité, a également été déployé sur le réseau de la cible”, ont noté l'équipe Symantec et Carbon Black Threat Hunter. “RDP a également été activé sur le réseau, ce qui est susceptible de fournir un accès à distance aux attaquants.”
Cette évolution intervient alors que les ransomwares restent une menace majeure pour les entreprises, avec un paysage en constante évolution à mesure que certains groupes ferment leurs portes et que d’autres renaissent rapidement de leurs cendres ou s’installent pour prendre leur place. Selon une analyse des sites de violation de données réalisée par Symantec et Carbon Black, les auteurs de ransomwares ont revendiqué un total de 4 737 attaques en 2025, contre 4 701 en 2024, soit une augmentation de 0,8 %.
Les joueurs les plus actifs au cours de l'année écoulée étaient Akira (alias Darter ou Howling Scorpius), Qilin (alias Stinkbug ou Water Galura), Play (alias Balloonfly), INC, SafePay, RansomHub (alias Greenbottle), DragonForce (alias Hackledorb), Sinobi, Rhysida et CACTUS. Certains des autres développements notables dans le domaine sont répertoriés ci-dessous :
- Les auteurs de menaces utilisant le ransomware Akira ont exploité un pilote Throttlestop vulnérable, ainsi que l'agent d'interface utilisateur Windows CardSpace et le canal protégé de Microsoft Media Foundation, pour télécharger le chargeur Bumblebee lors d'attaques observées entre le milieu et la fin de 2025.
- Les campagnes de rançongiciel Akira ont également exploité les VPN SSL SonicWall pour pénétrer dans les environnements des petites et moyennes entreprises lors de fusions et d'acquisitions et, finalement, accéder aux plus grandes sociétés acquéreuses. Il a été découvert qu'une autre attaque d'Akira exploitait les pots de miel de vérification CAPTCHA de type ClickFix pour lancer un cheval de Troie d'accès à distance .NET appelé SectopRAT, qui sert de canal pour le contrôle à distance et la livraison de ransomwares.
- LockBit (alias Syrphid), qui s'est associé à DragonForce et Qilin en octobre 2025, a continué à maintenir son infrastructure malgré une opération de police visant à arrêter ses opérations début 2024. Il a également publié des variantes de LockBit 5.0 ciblant plusieurs systèmes d'exploitation et plates-formes de virtualisation. Une mise à jour majeure de LockBit 5.0 est l'introduction d'un modèle de déploiement de ransomware en deux étapes qui sépare le chargeur de la charge utile principale tout en maximisant l'évasion, la modularité et l'impact destructeur.
- Une nouvelle opération RaaS appelée Sicarii n’a fait qu’une seule victime depuis sa première apparition fin 2025. Bien que le groupe s’identifie explicitement comme israélien/juif, l’analyse a révélé que l’activité clandestine en ligne est principalement menée en russe et que le contenu en hébreu partagé par l’acteur menaçant contient des erreurs grammaticales et sémantiques. Cela a soulevé la possibilité d’une opération sous fausse bannière. L'opérateur principal de Sicarii utilise le compte Telegram « @Skibcum ».
- L'acteur malveillant connu sous le nom de Storm-2603 (également connu sous le nom de CL-CRI-1040 ou Gold Salem) a été observé en train d'exploiter l'outil légitime d'investigation numérique et de réponse aux incidents (DFIR) Velociraptor dans le cadre de l'activité précurseur menant au déploiement des ransomwares Warlock, LockBit et Babuk. Les attaques ont également utilisé deux pilotes (« rsndispot.sys » et « kl.sys ») ainsi que « vmtools.exe » pour désactiver les solutions de sécurité via une attaque BYOVD.
- Des entités en Inde, au Brésil et en Allemagne ont été ciblées par des attaques de ransomware Makop qui exploitent des systèmes RDP exposés et non sécurisés pour préparer des outils d'analyse réseau, d'élévation de privilèges, de désactivation de logiciels de sécurité, de vidage d'informations d'identification et de déploiement de ransomwares. Les attaques, en plus d'utiliser les pilotes « hlpdrv.sys » et « ThrottleStop.sys » pour les attaques BYOVD, implémentent également GuLoader pour fournir la charge utile du ransomware. Il s’agit du premier cas documenté de distribution de Makop via un chargeur.
- Les attaques de ransomware ont également obtenu un accès initial en utilisant des informations d'identification RDP déjà compromises pour effectuer une reconnaissance, une élévation de privilèges, un mouvement latéral via RDP, suivi d'une exfiltration de données de température.[.]sh le sixième jour de l'intrusion et le déploiement du ransomware Lynx trois jours plus tard.
- Une faille de sécurité dans le processus de cryptage associé au ransomware Obscura rend les fichiers volumineux irrécupérables. “Lorsque vous chiffrez des fichiers volumineux, vous n'écrivez pas la clé temporaire chiffrée dans le pied de page du fichier”, a déclaré Coveware. “Pour les fichiers de plus de 1 Go, ce pied de page n'est jamais créé, ce qui signifie que la clé nécessaire au décryptage est perdue. Ces fichiers sont définitivement irrécupérables.”
- Une nouvelle famille de ransomwares appelée 01flip a ciblé un nombre limité de victimes dans la région Asie-Pacifique. Écrit en Rust, le ransomware peut cibler les systèmes Windows et Linux. Les chaînes d'attaque impliquent l'exploitation de vulnérabilités de sécurité connues (par exemple, CVE-2019-11580) pour prendre pied dans les réseaux ciblés. Il a été attribué à un acteur menaçant motivé par des raisons financières, connu sous le nom de CL-CRI-1036.
Pour se protéger contre les attaques ciblées, les organisations sont encouragées à surveiller l'utilisation d'outils à double usage, à restreindre l'accès aux services RDP, à appliquer l'authentification multifacteur (2FA), à utiliser les listes d'autorisation d'applications le cas échéant et à mettre en œuvre un stockage de sauvegarde externe.
“Alors que les attaques impliquant des ransomwares cryptés restent plus répandues que jamais et continuent de constituer une menace, l'arrivée de nouveaux types d'attaques non cryptées ajoute une autre couche de risque, créant un écosystème d'extorsion plus large dont les ransomwares pourraient ne devenir qu'un composant”, ont déclaré Symantec et Carbon Black.
