Poortry

Pesquisadores de segurança das equipes Carbon Black e Symantec relataram detalhes sobre o novo ransomware Osiris, que vem afetando países da Ásia desde novembro de 2025. Este ransomware, que é vendido como ransomware-as-a-service, utiliza um driver malicioso chamado POORTRY, projetado para desativar aplicativos de segurança nas máquinas das vítimas. Diferente de variantes anteriores, o Osiris não possui relação com o ransomware Locky, que surgiu em 2016. Os ataques são classificados como ’living-off-the-land’, extraindo dados através de buckets Wasabi e utilizando ferramentas como Mimikatz, Netscan, Netexec, MeshAgent e Rustdesk. O uso do driver POORTRY é um diferencial, pois ele é especificamente desenhado para elevar privilégios e fechar ferramentas de segurança, em vez de simplesmente entregar programas vulneráveis. No Brasil, o grupo Makop também tem realizado atividades semelhantes, visando sistemas remotos e utilizando drivers maliciosos. Para se proteger, especialistas recomendam monitorar ferramentas de uso duplo, restringir acessos a sistemas remotos, reforçar a autenticação em duas etapas e proibir aplicativos suspeitos.

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova família de ransomware chamada Osiris, que atacou um grande operador de franquias de serviços alimentícios no Sudeste Asiático em novembro de 2025. O ataque utilizou um driver malicioso denominado POORTRY, parte de uma técnica conhecida como ‘bring your own vulnerable driver’ (BYOVD), para desativar softwares de segurança. O Osiris é considerado uma nova cepa de ransomware, sem relação com uma variante anterior do mesmo nome. Os especialistas da Broadcom identificaram indícios que sugerem que os atacantes podem ter vínculos com o ransomware INC. O Osiris utiliza um esquema de criptografia híbrido e chaves únicas para cada arquivo, sendo capaz de interromper serviços e especificar quais pastas e extensões devem ser criptografadas. O ataque também envolveu a exfiltração de dados sensíveis para um bucket de armazenamento em nuvem Wasabi, utilizando ferramentas como Rclone e uma versão personalizada do software de desktop remoto Rustdesk. O uso do driver POORTRY, projetado para elevar privilégios e encerrar ferramentas de segurança, destaca a evolução das táticas de ransomware, que continuam a representar uma ameaça significativa para as empresas. Em 2025, foram registrados 4.737 ataques de ransomware, um aumento em relação ao ano anterior, evidenciando a persistência e a adaptação dos grupos de cibercrime.