นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดของแรนซัมแวร์สายพันธุ์ใหม่ชื่อ ‘Osiris’ ซึ่งใช้ไดรเวอร์ที่เป็นอันตรายที่เรียกว่า POORTRY ในการโจมตีแบบ ‘Bring Your Own Vulnerable Driver’ (BYOVD) โดยมุ่งเป้าไปที่ผู้ประกอบการแฟรนไชส์บริการอาหารรายใหญ่ในเอเชียตะวันออกเฉียงใต้เมื่อเดือนพฤศจิกายน 2025 การโจมตีนี้มีวัตถุประสงค์เพื่อปิดการใช้งานซอฟต์แวร์รักษาความปลอดภัยและขโมยข้อมูลที่ละเอียดอ่อนก่อนการเข้ารหัส มีข้อบ่งชี้ว่าผู้โจมตีอาจเกี่ยวข้องกับแรนซัมแวร์ INC นอกจากนี้ บทความยังเน้นย้ำถึงการเปลี่ยนแปลงของภัยคุกคามแรนซัมแวร์และกิจกรรมของกลุ่มแรนซัมแวร์อื่นๆ ที่สำคัญในปีที่ผ่านมา
Severity: สูง
System Impact:
- ระบบปฏิบัติการ Windows และ Linux (จากแรนซัมแวร์ 01flip)
- สภาพแวดล้อมคลาวด์และคอนเทนเนอร์ (จากมัลแวร์ VoidLink)
- ซอฟต์แวร์ Microsoft Office, Exchange, Mozilla Firefox, WordPad, Notepad (กระบวนการ/บริการที่ Osiris กำหนดเป้าหมาย)
- Volume Shadow Copy, Veeam (บริการที่ Osiris กำหนดเป้าหมาย)
- Wasabi cloud storage (ใช้สำหรับการขโมยข้อมูล)
- บริการ RDP (ถูกใช้เป็นช่องทางเข้าถึงเบื้องต้นในการโจมตีอื่น ๆ)
- SonicWall SSL VPNs (ถูกใช้เป็นช่องโหว่โดย Akira)
- ระบบ GitHub, GitLab, Jira (ข้อมูลที่อาจไม่ปลอดภัยหากไม่มีการสำรองข้อมูลที่ดี)
- Node.js (ช่องโหว่รุนแรงที่สามารถทำให้เซิร์ฟเวอร์ล่มได้)
- FortiSIEM (ช่องโหว่รุนแรงที่อนุญาตให้ Remote Code Execution โดยไม่ได้รับอนุญาต)
- Palo Alto GlobalProtect (ช่องโหว่ DoS ที่สามารถทำให้ไฟร์วอลล์ล่มได้)
- Sitecore (Zero-day ถูกใช้โดย APT ที่เชื่อมโยงกับจีน)
- ส่วนขยาย Chrome (ส่วนขยายที่เป็นอันตรายที่เลียนแบบ Workday และ NetSuite)
Technical Attack Steps:
- เข้าถึงเครือข่ายเป้าหมาย (วิธีการเริ่มต้นสำหรับ Osiris ยังไม่ระบุชัดเจน แต่สำหรับกรณีอื่น ๆ มีการใช้ RDP ที่ถูกบุกรุก)
- ขโมยข้อมูลที่ละเอียดอ่อนโดยใช้ Rclone ไปยัง Wasabi cloud storage bucket
- ปรับใช้เครื่องมือ Dual-use ต่างๆ เช่น Netscan, Netexec, MeshAgent, Rustdesk เวอร์ชันที่กำหนดเอง และ Mimikatz (‘kaz.exe’)
- ปรับใช้เครื่องมือ KillAV และไดรเวอร์ POORTRY ที่กำหนดเอง ซึ่งเป็นส่วนหนึ่งของการโจมตีแบบ BYOVD เพื่อยกระดับสิทธิ์และปิดการใช้งานซอฟต์แวร์รักษาความปลอดภัย
- ปรับใช้แรนซัมแวร์ Osiris ซึ่งถูกกำหนดค่าให้หยุดกระบวนการและบริการต่างๆ (เช่น Microsoft Office, Exchange, Firefox, WordPad, Notepad, Volume Shadow Copy, Veeam) และเข้ารหัสไฟล์/โฟลเดอร์ที่ระบุ
Recommendations:
Short Term:
- ตรวจสอบการใช้งานเครื่องมือ Dual-use (เครื่องมือที่ถูกต้องแต่สามารถใช้ในทางที่ผิดได้) อย่างใกล้ชิด
- จำกัดการเข้าถึงบริการ RDP และตรวจสอบบันทึกกิจกรรมอย่างสม่ำเสมอ
- บังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA/2FA) สำหรับทุกบัญชีและบริการ
- ใช้ Application Allowlisting ในกรณีที่เหมาะสม เพื่ออนุญาตเฉพาะซอฟต์แวร์ที่ได้รับอนุมัติให้รันบนระบบ
Long Term:
- สำรองข้อมูลที่สำคัญไว้ในพื้นที่จัดเก็บแบบ Off-site หรือ Offline อย่างสม่ำเสมอ
- พัฒนากลยุทธ์และขั้นตอนการรับมือเหตุการณ์ (Incident Response Plan) และทดสอบเป็นประจำ
- อัปเดตข้อมูลภัยคุกคามล่าสุดเกี่ยวกับแรนซัมแวร์และเทคนิคการโจมตีอย่างต่อเนื่อง
- แก้ไขช่องโหว่และอัปเดตระบบ ซอฟต์แวร์ และไดรเวอร์ทั้งหมดเป็นเวอร์ชันล่าสุดอยู่เสมอ
- ดำเนินการตรวจสอบความปลอดภัย (Security Audits) และการทดสอบเจาะระบบ (Penetration Testing) เป็นประจำ
- ให้ความรู้แก่พนักงานเกี่ยวกับแนวปฏิบัติที่ดีที่สุดด้านความปลอดภัยทางไซเบอร์ รวมถึงการระวังฟิชชิ่งและการใช้งานแอปพลิเคชันอย่างปลอดภัย
- พิจารณาใช้โซลูชัน Endpoint Detection and Response (EDR) ขั้นสูงที่สามารถตรวจจับและป้องกันการโจมตีแบบ BYOVD ได้
Source: https://thehackernews.com/2026/01/new-osiris-ransomware-emerges-as-new.html
Share this content: