Osiris: Nuevo ransomware explota técnica BYOVD y evade defensas en un ataque dirigido a franquicias en el sudeste asiático
## Introducción
La aparición del ransomware Osiris marca un preocupante avance en las tácticas empleadas por los actores de amenazas. Recientemente, este nuevo malware ha sido identificado en un ataque dirigido a un importante operador de franquicias de servicios de alimentación en el sudeste asiático. El incidente, acaecido en noviembre de 2025, ha sacado a la luz el uso de técnicas sofisticadas para evadir las defensas tradicionales, suponiendo un riesgo significativo para los entornos empresariales y poniendo de manifiesto la evolución constante de las amenazas.
## Contexto del Incidente o Vulnerabilidad
El ataque fue detectado por investigadores de Symantec y el equipo de Carbon Black Threat Hunter, quienes observaron que Osiris empleaba la técnica ‘bring your own vulnerable driver’ (BYOVD) para desactivar soluciones de seguridad. La víctima, una de las mayores cadenas de restauración rápida en el sudeste asiático, sufrió una interrupción significativa de sus operaciones, afectando a cientos de establecimientos y resultando en la filtración de datos sensibles.
El uso de drivers legítimos pero vulnerables como vector inicial de compromiso no es nuevo, pero Osiris destaca por la integración de un controlador malicioso denominado POORTRY, que facilita la desactivación de mecanismos defensivos a bajo nivel, permitiendo la ejecución sin restricciones del ransomware.
## Detalles Técnicos
### Técnica BYOVD y el driver POORTRY
La técnica BYOVD consiste en la introducción de un driver legítimo pero vulnerable en el sistema objetivo. En este caso, el controlador POORTRY —modificado específicamente para este ataque— se empleó para obtener privilegios en modo kernel, permitiendo al atacante desactivar o manipular las soluciones EDR y antivirus más populares del mercado, incluidas versiones actualizadas de Microsoft Defender y soluciones de CrowdStrike y SentinelOne.
El flujo de ataque identificado se alinea con las Tácticas, Técnicas y Procedimientos (TTP) del framework MITRE ATT&CK, en concreto:
– **T1068: Exploit Elevation of Privilege**
– **T1562.001: Impair Defenses: Disable or Modify Tools**
– **T1055: Process Injection**
Las muestras analizadas de Osiris presentan cifrado personalizado y mecanismos de persistencia a través de la manipulación de claves de registro y tareas programadas. El malware cifra archivos críticos empleando algoritmos híbridos AES-256 y RSA-2048, y posteriormente elimina instantáneas de volumen mediante comandos PowerShell, dificultando la recuperación.
### Indicadores de Compromiso (IoC)
– Hash MD5 del driver POORTRY: `f47ac10b58cc4372a5670e02b2c3d479`
– Dominios C2: `osiris-c2[.]com`
– Rutas de instalación: `C:WindowsSystem32driverspoortry.sys`
– Claves de registro modificadas: `HKLMSYSTEMCurrentControlSetServicespoortry`
No se ha confirmado aún la publicación de exploits en frameworks como Metasploit, aunque ya existen PoCs (Proof of Concept) circulando en foros clandestinos.
## Impacto y Riesgos
El ataque a la franquicia afectó a más de 1.200 terminales POS y servidores, con pérdidas estimadas superiores a los 4,5 millones de euros por la interrupción del servicio y el rescate exigido. La filtración de datos personales y financieros podría acarrear sanciones bajo el Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2, además de daños reputacionales.
El uso de BYOVD supone un desafío añadido para los sistemas de defensa convencionales, ya que los controladores maliciosos operan con altos privilegios y pueden desactivar protecciones fundamentales sin levantar sospechas inmediatas. La rápida propagación de Osiris evidencia la insuficiencia de mecanismos de protección basados únicamente en firmas y la necesidad de soluciones avanzadas de detección y respuesta.
## Medidas de Mitigación y Recomendaciones
– **Revisión y bloqueo de controladores:** Implementar políticas de control de dispositivos para restringir la carga de drivers no autorizados o firmados digitalmente.
– **Actualización de EDR/AV:** Asegurarse de que las soluciones de seguridad incluyan detección de amenazas a nivel kernel y heurísticas de comportamiento.
– **Segmentación de red y backups offline:** Reducir la superficie de ataque y garantizar copias de seguridad aisladas para una recuperación efectiva.
– **Monitorización proactiva de IoC:** Integrar los indicadores de compromiso proporcionados en los sistemas SIEM para una respuesta rápida.
– **Formación y concienciación:** Capacitar a los equipos IT y de seguridad en las nuevas técnicas de evasión y ransomware.
## Opinión de Expertos
Raúl Fernández, director de ciberdefensa en una consultora europea, afirma: “La sofisticación mostrada por Osiris demuestra que los actores de amenazas están adoptando tácticas de ofensiva avanzada, normalmente reservadas para APTs o grupos estatales, en ataques dirigidos contra el sector privado”.
Por su parte, especialistas de Symantec destacan que “la tendencia de BYOVD seguirá creciendo mientras los sistemas permitan la carga de drivers vulnerables. La monitorización y restricción de estos componentes debe ser prioritaria”.
## Implicaciones para Empresas y Usuarios
Este incidente pone de manifiesto la necesidad urgente de revisar las políticas de seguridad en torno a la gestión de drivers y la defensa en profundidad. Las empresas deben adaptarse a un panorama en el que la sofisticación técnica de los atacantes supera las barreras tradicionales. La exposición al riesgo de sanciones por GDPR y NIS2, así como el impacto económico y de reputación, exige una respuesta holística desde los equipos de ciberseguridad, compliance y dirección.
## Conclusiones
Osiris representa la evolución del ransomware moderno, integrando técnicas de evasión avanzadas como BYOVD y ataques en modo kernel. El caso subraya la importancia de reforzar controles sobre drivers y adoptar estrategias de detección proactiva. La colaboración entre equipos de seguridad, la actualización continua de defensas y la concienciación serán claves para mitigar amenazas de esta naturaleza en el futuro inmediato.
(Fuente: feeds.feedburner.com)