Mengenal Ransomware Osiris & Teknik BYOVD yang Lumpuhkan Keamanan

Dunia keamanan siber kembali dihadapkan pada ancaman baru dengan munculnya ransomware bernama Osiris. Ransomware ini terungkap setelah menyerang operator besar waralaba layanan makanan di kawasan Asia Tenggara pada November 2025. Serangan tersebut menunjukkan tingkat kecanggihan tinggi dan menandai evolusi baru dalam teknik yang digunakan pelaku kejahatan siber.

Berdasarkan temuan peneliti keamanan, Osiris memanfaatkan driver berbahaya bernama POORTRY dalam skema serangan bring your own vulnerable driver (BYOVD). Teknik ini memungkinkan penyerang membawa driver tertentu ke dalam sistem target untuk menonaktifkan atau melewati perlindungan keamanan. Tim Threat Hunter dari Symantec dan Carbon Black menjelaskan bahwa driver tersebut digunakan secara khusus untuk mematikan software keamanan sebelum ransomware dijalankan.

Meski namanya terdengar familiar, Osiris dipastikan sebagai ransomware jenis baru dan tidak berkaitan dengan varian Osiris yang pernah muncul pada 2016 sebagai turunan Locky. Hingga kini, identitas pengembangnya masih belum diketahui, begitu pula apakah Osiris beroperasi dengan model ransomware-as-a-service (RaaS) yang kerap digunakan kelompok kejahatan siber modern.

Namun demikian, divisi keamanan siber Broadcom menemukan sejumlah indikasi yang mengarah pada keterkaitan dengan kelompok INC ransomware atau Warble. Dugaan ini muncul karena adanya kesamaan alat dan teknik yang digunakan, termasuk pemanfaatan versi Mimikatz dengan nama file kaz.exe, yang sebelumnya juga dipakai oleh kelompok INC.

Dalam laporannya, Symantec dan Carbon Black mengungkap bahwa pelaku serangan memanfaatkan berbagai living off the land tools dan dual-use tools, yakni alat sah yang disalahgunakan untuk tujuan jahat. Selain itu, data sensitif korban diekstraksi menggunakan Rclone ke penyimpanan cloud Wasabi, sebelum ransomware dijalankan untuk mengenkripsi sistem.

Dari sisi teknis, Osiris digambarkan sebagai ransomware dengan mekanisme enkripsi yang kuat dan efisien. Ransomware ini menggunakan skema enkripsi hibrida dan kunci unik untuk setiap file, sehingga mempersulit proses pemulihan data tanpa kunci tebusan. Fleksibilitas Osiris juga tergolong tinggi, karena mampu menghentikan layanan tertentu, menentukan file dan folder yang akan dienkripsi, menghentikan proses aktif, hingga menampilkan catatan tebusan kepada korban.

Secara default, Osiris dirancang untuk mematikan berbagai layanan penting, termasuk yang berkaitan dengan Microsoft Office, Exchange, Mozilla Firefox, WordPad, Notepad, Volume Shadow Copy, hingga Veeam. Langkah ini dilakukan untuk memastikan proses enkripsi berjalan lancar tanpa gangguan dari sistem cadangan maupun aplikasi aktif.

Menariknya, driver POORTRY berbeda dari teknik BYOVD pada umumnya. Jika biasanya penyerang memanfaatkan driver resmi yang memiliki celah keamanan, POORTRY justru merupakan driver khusus yang memang dibuat untuk menaikkan hak akses dan mematikan sistem keamanan. Selain itu, alat KillAV juga ditemukan di jaringan korban, yang berfungsi menghentikan proses keamanan dengan menyebarkan driver rentan. Akses Remote Desktop Protocol (RDP) turut diaktifkan, diduga untuk memudahkan kendali jarak jauh oleh penyerang.

Kemunculan Osiris menambah panjang daftar ancaman ransomware global. Sepanjang 2025, pelaku ransomware mengklaim 4.737 serangan, meningkat 0,8 persen dibandingkan tahun sebelumnya. Beberapa kelompok yang paling aktif antara lain Akira, Qilin, Play, INC, SafePay, RansomHub, DragonForce, Sinobi, Rhysida, dan CACTUS.

Sejumlah perkembangan lain juga menunjukkan bahwa lanskap ransomware terus berevolusi, mulai dari eksploitasi VPN, penyalahgunaan driver, hingga munculnya ransomware lintas platform berbasis Rust seperti 01flip. Kondisi ini menegaskan bahwa organisasi perlu meningkatkan kewaspadaan dan kesiapan keamanan siber.

Para ahli menyarankan perusahaan untuk memantau penggunaan alat dual-use, membatasi akses RDP, menerapkan autentikasi dua faktor (2FA), menggunakan application allowlisting, serta menyimpan cadangan data di lokasi terpisah. Menurut Symantec dan Carbon Black, meski ransomware berbasis enkripsi masih mendominasi, kemunculan metode pemerasan baru tanpa enkripsi memperluas ekosistem kejahatan siber, menjadikan ransomware hanya salah satu dari banyak ancaman digital yang harus dihadapi perusahaan.