O cenário de ataques de ransomware continua em franca evolução em 2025 e 2026, com grupos cibercriminosos adotando técnicas cada vez mais sofisticadas para contornar defesas corporativas e domésticas. Uma das descobertas mais preocupantes recentes envolve o Ransomware Osiris, que passou a empregar uma abordagem agressiva baseada na técnica BYOVD, explorando um driver vulnerável conhecido como POORTRY para desativar soluções de segurança antes mesmo da criptografia dos dados.
Esse movimento marca um salto qualitativo no arsenal dos atacantes, pois deixa claro que não se trata apenas de explorar falhas em aplicações, mas de abusar do próprio ecossistema de drivers do sistema operacional para obter privilégios elevados e “matar” processos de antivírus e EDR. Neste artigo, vamos explicar como o Osiris funciona, por que o uso do POORTRY torna o ataque tão perigoso, quais são as conexões com outros grupos de cibercrime e, principalmente, o que profissionais de TI podem fazer para reduzir o risco dessa ameaça.
O que é o ransomware Osiris e como ele opera
O Ransomware Osiris foi identificado em campanhas recentes por pesquisadores da Symantec e da VMware Carbon Black, com foco inicial em organizações localizadas no Sudeste Asiático. Diferente do antigo ransomware homônimo observado em 2016, que tinha características relativamente simples, a versão atual representa uma ameaça completamente distinta, mais alinhada com o padrão moderno de extorsão digital.
O Osiris atual utiliza um esquema de criptografia híbrida, combinando algoritmos simétricos para a criptografia rápida dos arquivos e criptografia assimétrica para proteger as chaves utilizadas no processo. Essa abordagem garante eficiência operacional para o atacante e dificulta qualquer tentativa de recuperação sem a chave privada mantida pelos criminosos.
Outro ponto relevante é a fase de preparação do ataque. Antes de iniciar a criptografia, o Ransomware Osiris executa uma série de verificações no ambiente, mapeando soluções de segurança instaladas, políticas de backup e possíveis caminhos de movimentação lateral. Somente após neutralizar as defesas é que o malware parte para a etapa final, reduzindo drasticamente as chances de detecção em tempo real.
A técnica BYOVD e o driver POORTRY
A técnica BYOVD, sigla para Bring Your Own Vulnerable Driver, tem se tornado uma das armas preferidas de grupos avançados de ransomware. Em vez de explorar uma vulnerabilidade direta no sistema operacional, o atacante carrega manualmente um driver legítimo, porém vulnerável, assinado e reconhecido pelo Windows, explorando falhas conhecidas para obter privilégios de nível kernel.
No caso do Osiris, o driver explorado é o POORTRY. Esse driver contém falhas que permitem a execução de código arbitrário em modo kernel, o que na prática concede controle total do sistema ao atacante. Com esse nível de acesso, o malware consegue desativar processos críticos de segurança, incluindo antivírus, EDR e agentes de monitoramento.
A periculosidade do POORTRY está justamente na confiança implícita que o sistema operacional deposita em drivers assinados. Uma vez carregado, o driver pode ser usado para encerrar processos protegidos, manipular a memória do kernel e até ocultar atividades maliciosas, tornando a detecção extremamente difícil para soluções tradicionais de segurança.
Ferramentas de “viver da terra” e conexões com o grupo INC
Além do uso da técnica BYOVD, o Ransomware Osiris também faz amplo uso do conceito conhecido como living off the land, ou “viver da terra”. Isso significa abusar de ferramentas legítimas, já presentes no sistema ou amplamente utilizadas em ambientes corporativos, para fins maliciosos.
Entre as ferramentas observadas estão o Rclone, usado para exfiltração de dados para serviços de armazenamento em nuvem, o Mimikatz, empregado para extração de credenciais em memória, e o Rustdesk, utilizado como ferramenta de acesso remoto persistente. O uso desses utilitários dificulta a detecção, pois eles não são, por si só, malwares.
Pesquisadores também encontraram evidências técnicas que ligam o Osiris ao grupo por trás do ransomware INC. Similaridades no código, na infraestrutura de comando e controle e no estilo das notas de resgate sugerem que pode haver compartilhamento de recursos ou até mesmo uma reestruturação interna do grupo, algo comum no ecossistema do cibercrime.
Panorama do ransomware em 2026
O Ransomware Osiris não surge isolado. Ele faz parte de um ecossistema cada vez mais profissionalizado, que em 2026 inclui nomes conhecidos como Akira, LockBit 5.0, Sicarii e Makop. Esses grupos têm adotado estratégias semelhantes, combinando exploração de falhas conhecidas, engenharia social e técnicas avançadas de evasão.
No Brasil, ataques de ransomware continuam sendo detectados com frequência, especialmente contra pequenas e médias empresas, órgãos públicos e provedores de serviços. A combinação de ambientes mal segmentados, uso excessivo de RDP exposto à internet e políticas fracas de autenticação torna o país um alvo atrativo para campanhas automatizadas e direcionadas.
Esse panorama reforça que a segurança cibernética 2026 exige uma postura proativa, baseada não apenas em ferramentas, mas em processos, monitoramento contínuo e conscientização das equipes.
Como proteger sua infraestrutura contra o Osiris
Diante de uma ameaça como o Ransomware Osiris, não existe uma solução única ou milagrosa. A proteção eficaz depende de uma abordagem em camadas, combinando tecnologia, processos e boas práticas.
É fundamental implementar MFA em todos os acessos remotos, especialmente em serviços como RDP, VPNs e painéis administrativos. O monitoramento contínuo de tentativas de login e atividades suspeitas pode ajudar a identificar ataques em estágio inicial.
Outra medida crítica é a gestão de drivers e a aplicação rigorosa de políticas de bloqueio para drivers vulneráveis conhecidos. Soluções de EDR atualizadas, com capacidade de detecção de abuso de drivers, são essenciais nesse contexto.
Por fim, manter backups offline e testados regularmente continua sendo uma das defesas mais eficazes contra ataques de ransomware. Mesmo que o pior aconteça, a capacidade de restaurar sistemas sem pagar resgate pode ser decisiva para a sobrevivência do negócio.
Conclusão
O surgimento do Ransomware Osiris e o uso agressivo da técnica BYOVD com o driver POORTRY deixam claro que o ransomware está entrando em uma nova fase, mais técnica e mais difícil de conter. A capacidade de desativar antivírus e EDR antes da criptografia representa um desafio significativo para profissionais de segurança.
Para organizações e usuários avançados, a lição é clara: confiar apenas em defesas tradicionais não é mais suficiente. Investir em monitoramento, controle de privilégios e estratégias de resposta a incidentes deixou de ser opcional. Compartilhe nos comentários como você tem se preparado para enfrentar esse novo cenário ou quais estratégias de defesa têm funcionado melhor no seu ambiente.