El ransomware Osiris surge, empleando la técnica BYOVD para neutralizar herramientas de seguridad.
Publicado enAmenazas

El ransomware Osiris surge, empleando la técnica BYOVD para neutralizar herramientas de seguridad.

No hay comentarios

El Ransomware Osiris: Una Amenaza Emergente que Explota la Técnica BYOVD para Desactivar Defensas de Seguridad

Introducción al Ransomware Osiris

En el panorama actual de ciberseguridad, el ransomware continúa representando una de las amenazas más persistentes y destructivas para organizaciones y usuarios individuales. Recientemente, ha surgido una variante denominada Osiris, que destaca por su sofisticación en el uso de técnicas avanzadas para evadir y neutralizar las herramientas de protección existentes. Este malware encripta archivos críticos y exige un rescate en criptomonedas, pero su principal innovación radica en la implementación de la técnica conocida como Bring Your Own Vulnerable Driver (BYOVD), que permite a los atacantes desactivar procesos de seguridad sin alertar a los sistemas de defensa.

Osiris forma parte de una evolución en las campañas de ransomware, donde los ciberdelincuentes no solo buscan encriptar datos, sino también asegurar la ejecución exitosa de su payload mediante la manipulación de componentes del sistema operativo a nivel de kernel. Esta aproximación reduce significativamente las posibilidades de detección por parte de antivirus y soluciones de endpoint detection and response (EDR). Según análisis preliminares, Osiris comparte similitudes con familias como BlackCat o ALPHV, sugiriendo posibles vínculos con grupos de ransomware-as-a-service (RaaS) que operan en la dark web.

La aparición de Osiris subraya la necesidad de una vigilancia constante en entornos empresariales, especialmente en sectores como finanzas, salud y manufactura, donde la interrupción de operaciones puede generar pérdidas millonarias. Este artículo examina en detalle las características técnicas de Osiris, la mecánica de BYOVD y las implicaciones para la ciberseguridad moderna.

La Técnica BYOVD: Fundamentos y Evolución

La técnica Bring Your Own Vulnerable Driver (BYOVD) se ha convertido en un pilar de las estrategias de evasión en ataques avanzados. En esencia, consiste en la carga de drivers vulnerables, previamente extraídos de software legítimo, para explotar privilegios elevados en el kernel de Windows. Estos drivers, a menudo provenientes de herramientas de hardware o software de terceros como procesadores de audio o controladores de dispositivos, contienen fallos de seguridad que permiten la terminación de procesos protegidos sin activar mecanismos de integridad del sistema.

Históricamente, BYOVD ha sido empleada en ataques dirigidos, como los vistos en operaciones de naciones-estado o en campañas de ransomware de alto perfil. Por ejemplo, el driver vulnerable de Capcom (capcom.sys) ha sido un favorito entre atacantes debido a su capacidad para mapear memoria arbitraria y desactivar EDR. En el caso de Osiris, los investigadores han identificado el uso de un driver similar, posiblemente derivado de software de virtualización o herramientas de depuración, que se inyecta durante la fase inicial de ejecución del malware.

El proceso de BYOVD en Osiris inicia con la descarga de un ejecutable disfrazado como un archivo legítimo, seguido de la extracción del driver vulnerable desde un recurso embebido. Una vez cargado mediante llamadas a APIs como NtLoadDriver, el driver ejecuta rutinas personalizadas para enumerar y terminar procesos asociados con soluciones de seguridad, tales como Windows Defender, CrowdStrike o Sophos. Esta técnica evita la necesidad de exploits zero-day, ya que aprovecha vulnerabilidades conocidas pero no parchadas en entornos desactualizados.

Desde una perspectiva técnica, BYOVD opera en el anillo 0 del sistema operativo, lo que le otorga control absoluto sobre el hardware y software. Los atacantes modifican el driver para incluir funciones de ofuscación, como la eliminación de firmas digitales o la renombración de archivos, complicando el análisis forense. En comparación con métodos tradicionales como la inyección de DLL o el uso de PowerShell, BYOVD ofrece una persistencia superior y una menor huella detectable por heurísticas de comportamiento.

Características Técnicas de Osiris

Osiris se presenta como un ransomware escrito en C++, con un tamaño de archivo compacto de aproximadamente 200 KB, optimizado para ejecución en sistemas Windows 10 y 11. Su vector de entrada principal es phishing por correo electrónico, donde los adjuntos maliciosos o enlaces llevan a la descarga de un dropper que verifica el entorno antes de desplegar el payload principal. Este dropper realiza chequeos anti-análisis, como la detección de máquinas virtuales mediante lecturas de registro de CPU o la verificación de perfiles de usuario administrador.

Una vez activado, Osiris emplea BYOVD para eliminar obstáculos. El driver vulnerable utilizado, identificado tentativamente como una variante de storport.sys o un driver de red similar, se carga dinámicamente y ejecuta comandos para matar procesos específicos. La lista de objetivos incluye no solo antivirus, sino también firewalls, herramientas de monitoreo de red y servicios de backup como Volume Shadow Copy. Posteriormente, el ransomware genera claves asimétricas RSA-2048 para encriptar archivos con extensiones comunes (.docx, .pdf, .xlsx, entre otros), agregando la extensión .osiris a los archivos afectados.

El mensaje de rescate se despliega en un archivo HTML o TXT, demandando un pago en Bitcoin o Monero a una dirección única por víctima. Osiris incorpora mecanismos de propagación lateral, utilizando SMB para escanear redes locales y explotar credenciales débiles. Además, incluye un módulo de exfiltración de datos, donde información sensible se envía a servidores C2 controlados por los atacantes antes de la encriptación, alineándose con la tendencia de doble extorsión en el ecosistema de ransomware.

En términos de ofuscación, Osiris utiliza polimorfismo en su código, alterando firmas en cada iteración para evadir detección basada en hashes. Análisis estático revela imports de APIs como CryptAcquireContext para operaciones criptográficas y NtQuerySystemInformation para enumeración de procesos. La resiliencia del malware se ve reforzada por su capacidad de autoeliminación parcial, borrando rastros del dropper una vez completada la infección.

Impacto en la Ciberseguridad Corporativa

La irrupción de Osiris representa un desafío significativo para las estrategias de defensa tradicionales. En entornos corporativos, donde las herramientas de seguridad dependen de la integridad del kernel, BYOVD puede comprometer múltiples capas de protección simultáneamente. Informes iniciales indican que Osiris ha afectado a organizaciones en Europa y América del Norte, con impactos en sectores de manufactura y servicios profesionales. La desactivación de EDR no solo facilita la encriptación, sino que también permite la persistencia post-infección, potencialmente habilitando ataques de segunda etapa como el robo de credenciales o la instalación de backdoors.

Desde un punto de vista económico, el ransomware genera costos directos por rescates, que oscilan entre 500.000 y 5 millones de dólares por incidente, según estimaciones de firmas de ciberseguridad. Sin embargo, los costos indirectos, como la pérdida de productividad, recuperación de datos y cumplimiento regulatorio (por ejemplo, GDPR o HIPAA), pueden multiplicar estas cifras. En América Latina, donde la adopción de soluciones avanzadas de seguridad es variable, Osiris podría explotar brechas en infraestructuras legacy, exacerbando vulnerabilidades regionales.

La técnica BYOVD también plantea preguntas sobre la cadena de suministro de software. Drivers vulnerables, a menudo firmados digitalmente por editores legítimos, entran en conflicto con políticas de Microsoft como Driver Signature Enforcement (DSE). Ataques como este resaltan la importancia de actualizaciones regulares y la auditoría de componentes de bajo nivel en entornos empresariales. Además, el uso de RaaS implica que Osiris podría escalar rápidamente, con afiliados distribuyéndolo a través de foros underground.

Medidas de Mitigación y Mejores Prácticas

Para contrarrestar amenazas como Osiris, las organizaciones deben adoptar un enfoque multicapa en su postura de ciberseguridad. En primer lugar, la implementación de parches y actualizaciones automáticas es crucial para mitigar vulnerabilidades en drivers conocidos. Herramientas como Microsoft Defender for Endpoint, con módulos de protección contra BYOVD, pueden detectar intentos de carga de drivers no autorizados mediante behavioral analytics.

La segmentación de redes, mediante firewalls de próxima generación (NGFW) y microsegmentación, limita la propagación lateral. Además, el principio de menor privilegio debe aplicarse rigurosamente, restringiendo accesos administrativos y utilizando cuentas de servicio con scopes limitados. En términos de detección, soluciones basadas en IA para anomaly detection pueden identificar patrones de BYOVD, como picos en llamadas al kernel o accesos inusuales a memoria protegida.

La educación del usuario final juega un rol pivotal: campañas de concientización sobre phishing y la verificación de adjuntos reducen vectores de entrada. Para recuperación, el mantenimiento de backups offline e inmutables asegura la restauración sin concesiones. En el ámbito latinoamericano, donde recursos pueden ser limitados, colaboraciones con entidades como el INCIBE o CERT regionales facilitan el intercambio de inteligencia de amenazas.

Finalmente, la monitorización continua con SIEM (Security Information and Event Management) y threat hunting proactivo permite la identificación temprana de Osiris. Integrar inteligencia de amenazas de fuentes como MITRE ATT&CK, que clasifica BYOVD bajo T1564.008, enriquece las capacidades de respuesta.

Consideraciones Finales sobre la Evolución de las Amenazas

Osiris ejemplifica la trayectoria ascendente de las técnicas de ransomware, donde la innovación en evasión supera a menudo las contramedidas defensivas. Su dependencia en BYOVD no solo demuestra la madurez de los atacantes, sino también la urgencia de evolucionar hacia arquitecturas de seguridad zero-trust. A medida que el malware se adapta a parches y detecciones, la colaboración global entre industria, gobiernos y investigadores se vuelve indispensable para desmantelar redes RaaS.

En última instancia, la defensa contra Osiris requiere una integración holística de tecnología, procesos y personas. Mantenerse informado sobre variantes emergentes y probar regularmente la resiliencia de los sistemas es clave para minimizar riesgos en un ecosistema digital cada vez más hostil.

Para más información visita la Fuente original.

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta