Eine neue Ransomware namens „Osiris“ schaltet Sicherheitssoftware auf Windows-Systemen aus – und setzt dabei auf eine besonders hinterhältige Angriffstechnik. Cybersicherheitsforscher haben diese Woche Details zu der Bedrohung veröffentlicht, die im November 2025 erstmals bei einem großen Lebensmitteldienstleister in Südostasien zuschlug.
Die als „Bring Your Own Vulnerable Driver“ (BYOVD) bekannte Methode ist der Kern der Gefahr. Dabei schleusen Angreifer einen legitimen, aber anfälligen Treiber in das Zielsystem ein. Über eine Schwachstelle in diesem Treiber erlangen sie dann Kernel-Privilegien auf höchster Ebene. Diese Berechtigungen nutzt die Ransomware, um Sicherheitsprozesse und Endpoint Detection and Response (EDR)-Software gewaltsam zu beenden, die den Angriff sonst erkennen und blockieren würde.
Im konkreten Fall setzten die Angreifer den bekannten, schädlichen Treiber POORTRY ein. Dieser tarnte sich als legitime Komponente einer Anti-Exploit-Software. Die Verwendung dieses Treibers deutet auf Verbindungen innerhalb der Cyberkriminellen-Szene hin, da er bereits mit anderen Erpressungstrojanern wie Medusa in Verbindung gebracht wurde.
Passend zum Thema IT‑Sicherheit: Viele Unternehmen unterschätzen aktuelle Ransomware‑Taktiken und bleiben bei EDR‑Lücken verwundbar. Ein kostenloser Cyber‑Security‑Report analysiert genau solche Angriffsvektoren – von BYOVD‑Techniken bis zu Living‑off‑the‑Land‑Methoden – und erklärt praxisnahe Schutzmaßnahmen, die Sie sofort umsetzen können, um Endpoints widerstandsfähiger zu machen. Das E‑Book enthält Checklisten zur Endpoint‑Härtung, Awareness‑Vorlagen und Prioritäten für schnelle Maßnahmen. Jetzt kostenlosen Cyber‑Security‑Report herunterladen
Verbindungen zu INC-Ransomware und raffinierte Taktiken
Die Identität der Osiris-Entwickler ist zwar unbekannt, doch die Ermittler von Symantec und Carbon Black sehen Parallelen zu den Akteuren hinter der INC-Ransomware. Als Indizien gelten die Nutzung einer speziellen Version des Credential-Dumping-Tools Mimikatz und die Exfiltration gestohlener Daten zum Cloud-Speicherdienst Wasabi – beides Taktiken der INC-Gruppe.
Die Angreifer zeigten ein hohes Maß an Professionalität. Sie nutzten zahlreiche „Living-off-the-Land“-Binaries (LOLBins) – legitime Systemverwaltungstools, die für bösartige Zwecke umfunktioniert werden. Dazu gehörten Netzwerkerkundung mit Netscan und der Fernzugriff via einer angepassten Version von Rustdesk. Dieses Vorgehen ermöglichte es ihnen, lange unentdeckt im Netzwerk zu operieren, Daten auszuspähen und erst dann die Ransomware zu aktivieren.
Hybrid-Verschlüsselung und gezielte Sabotage
Osiris erweist sich als wirksame und flexible Verschlüsselungslösung. Die Malware nutzt ein hybrides Verschlüsselungsschema, das Dateien ohne den Schlüssel der Angreifer unbrauchbar macht. Sie ist hoch konfigurierbar und kann gezielt bestimmte Dateipfade und -endungen verschlüsseln, während sie systemkritische Dateien ausspart.
Vor der Verschlüsselung stoppt Osiris eine lange Liste von Diensten, die seine Funktion behindern könnten. Dazu gehören Datenbankdienste wie SQL und Microsoft Exchange, aber auch Backup-Lösungen wie der Volume Shadow Copy Service (VSS) und Veeam. Damit werden lokale Backups wertlos. Nach der Verschlüsselung hinterlässt die Ransomware eine Lösegeldforderung in der Datei „Osiris-MESSAGE.txt“.
BYOVD: Ein wachsendes Problem für die IT-Sicherheit
Der Fall Osiris steht für einen besorgniserregenden Trend: Immer mehr Ransomware-Gruppen wie Akira, BlackByte und Kasseika setzen auf die BYOVD-Technik. Sie unterwandern das Sicherheitsmodell, das darauf vertraut, dass signierte Treiber vertrauenswürdig sind. Der Angriff beginnt mit legitimer Software, die erst später für bösartige Aktionen missbraucht wird.
Das stellt Verteidiger vor enorme Herausforderungen. Sie müssen nicht mehr nur nach klassischer Malware suchen, sondern auch den Missbrauch legitimer Softwarekomponenten überwachen. Microsoft und andere Anbieter pflegen zwar Blocklisten für bekannte anfällige Treiber, doch dies ist eine reaktive Maßnahme.
Die neue Frontlinie: Widerstandsfähigkeit der Endpoints
Das Aufkommen von Osiris unterstreicht das anhaltende Wettrüsten zwischen Cyberkriminellen und Sicherheitsanbietern. Da EDR-Lösungen besser werden, entwickeln Angreifer ausgefeiltere Umgehungstechniken. Unternehmen müssen sich auf eine „Defense-in-Depth“-Strategie einstellen.
Dazu gehören strikte Anwendungskontrolle, um das Laden nicht autorisierter Treiber zu verhindern, sowie kontinuierliche Überwachung und proaktives Schwachstellenmanagement. Klar ist: Perimeter-Verteidigung allein reicht nicht mehr aus. Die Widerstandsfähigkeit der Endpoints, ein strenges Privileged Access Management und die schnelle Erkennung anomalen Verhaltens sind heute entscheidender denn je.
PS: Sie möchten konkrete, sofort anwendbare Gegenmaßnahmen? Ein kostenloses Cyber‑Security‑E‑Book liefert eine kompakte 4‑Schritte‑Anleitung zur Hacker‑Abwehr, zeigt psychologische Angriffsvektoren (etwa CEO‑Fraud) und bietet praxiserprobte Awareness‑Bausteine für Mitarbeiterschulungen. So können Sie Ihre Organisation besser gegen Phishing, gezielte Angriffe und BYOVD‑Techniken schützen – ohne teure Zusatzprojekte. Gratis Cyber‑Security‑Guide jetzt sichern
