Surge Osiris, un nuevo ransomware que usa el driver POORTRY en ataques BYOVD
Investigadores de ciberseguridad revelaron la aparición de Osiris, una nueva familia de ransomware detectada tras un ataque dirigido contra un operador de franquicias de servicios alimentarios en el Sudeste Asiático en noviembre de 2025. La operación se distingue por el uso de un driver malicioso denominado POORTRY, empleado en una técnica conocida como Bring Your Own Vulnerable Driver (BYOVD) para desactivar soluciones de seguridad.
El análisis fue publicado por el equipo de Symantec y Carbon Black, ambos bajo el paraguas de Broadcom.
Osiris: una cepa nueva, sin relación con Locky
Pese a compartir nombre, Osiris no guarda relación con el ransomware del mismo nombre observado en 2016 como variante de Locky. De acuerdo con los investigadores, se trata de una cepa completamente nueva, sin información pública sobre sus desarrolladores ni evidencia clara de que opere bajo un modelo Ransomware-as-a-Service (RaaS).
No obstante, Broadcom identificó indicadores técnicos que sugieren que los atacantes podrían tener vínculos previos con el grupo INC ransomware, también conocido como Warble.
Uso de POORTRY y técnica BYOVD
El ataque destaca por el uso del driver POORTRY, diseñado específicamente para:
-
Elevar privilegios
-
Finalizar procesos de seguridad
-
Desactivar software de protección
A diferencia de otros ataques BYOVD, que suelen abusar de drivers legítimos pero vulnerables, POORTRY es un driver malicioso creado ad hoc para este propósito.
Además, los atacantes desplegaron la herramienta KillAV, utilizada para cargar drivers vulnerables y terminar procesos de seguridad, y habilitaron RDP para mantener acceso remoto persistente al entorno comprometido.
Cadena de ataque observada
Las primeras señales de compromiso incluyeron la exfiltración de datos sensibles antes del cifrado, una táctica común en esquemas de doble extorsión. El flujo del ataque incluyó:
-
Exfiltración de datos con Rclone hacia buckets en Wasabi.
-
Uso de herramientas dual-use como Netscan, Netexec y MeshAgent.
-
Implementación de una versión personalizada del software de escritorio remoto Rustdesk.
-
Despliegue final del payload de ransomware Osiris.
Capacidades técnicas del ransomware Osiris
Osiris fue descrito como un payload de cifrado efectivo, probablemente operado por atacantes experimentados. Entre sus características técnicas se incluyen:
-
Cifrado híbrido con una clave única por archivo.
-
Capacidad para detener servicios, terminar procesos y definir extensiones o carpetas específicas a cifrar.
-
Eliminación de Volume Shadow Copies.
-
Generación de nota de rescate personalizada.
Por defecto, el ransomware finaliza procesos y servicios asociados a:
-
Microsoft Office y Exchange
-
Mozilla Firefox
-
WordPad y Notepad
-
Veeam
-
Servicios de respaldo y recuperación
Contexto: evolución del ecosistema ransomware
El surgimiento de Osiris se produce en un contexto donde el ransomware sigue siendo una amenaza empresarial dominante. Según Symantec y Carbon Black, los actores de ransomware reclamaron 4.737 ataques en 2025, frente a 4.701 en 2024, lo que representa un incremento interanual del 0,8%.
Entre los grupos más activos durante 2025 se encuentran:
-
Akira
-
Qilin
-
Play
-
INC
-
SafePay
-
RansomHub
-
DragonForce
-
Rhysida
-
CACTUS
Los investigadores destacan además una tendencia creciente al uso de drivers, herramientas legítimas y ataques sin cifrado, ampliando el ecosistema de extorsión más allá del ransomware tradicional.
Recomendaciones defensivas
Para reducir el riesgo frente a ataques como Osiris, los expertos recomiendan:
-
Monitorear el uso de herramientas dual-use en entornos corporativos.
-
Restringir y auditar accesos RDP.
-
Aplicar MFA/2FA en todos los accesos remotos.
-
Implementar allowlisting de aplicaciones.
-
Mantener copias de respaldo offline y fuera del entorno productivo.
-
Detectar intentos de carga de drivers no confiables.
Como advierten Symantec y Carbon Black, el ransomware ya no es solo cifrado: es parte de un modelo de extorsión más amplio y modular, donde la evasión y el sigilo son tan importantes como el payload final.