Kontak Kami
Kata SUHU

Mengenal Osiris Ransomware dan BYOVD: Kernel-Level Attacks terhadap Endpoint Security

18 Feb 2026

Apa Itu Osiris Ransomware?

Osiris adalah ransomware dengan mekanisme hybrid encryption yang dirancang untuk:

  • Menghentikan layanan dan proses keamanan

  • Mengekstraksi data sebelum enkripsi (double extortion model)

  • Mengenkripsi file dengan kunci unik per file

  • Menampilkan ransom note kepada korban

Attack Chain Osiris 2

Walaupun belum dipastikan apakah beroperasi dalam model Ransomware-as-a-Service (RaaS), terdapat indikasi kuat keterkaitan dengan kelompok INC ransomware (alias Warble) berdasarkan kesamaan tooling dan TTP (Tactics, Techniques, and Procedures).

Beberapa indikasi yang mengarah pada afiliasi tersebut antara lain:

  • Penggunaan Mimikatz dengan nama file kaz.exe

  • Eksfiltrasi data menggunakan Rclone

  • Penyimpanan data hasil curian ke bucket cloud Wasabi

  • Pola penggunaan dual-use tools yang konsisten

Attack Chain Osiris

Berikut gambaran umum tahapan serangan Osiris ransomware berdasarkan observasi insiden:

Tahap

Teknik

Deskripsi

Initial Access

RDP / Kredensial Bocor

Akses awal melalui RDP yang terekspos

Reconnaissance

Netscan, Netexec

Pemetaan jaringan internal

Privilege Escalation

POORTRY driver (BYOVD)

Eskalasi hak akses dan disable security

Credential Dumping

Mimikatz (kaz.exe)

Dump kredensial domain

Lateral Movement

RDP, MeshAgent, Rustdesk

Pergerakan lateral dalam jaringan

Data Exfiltration

Rclone → Wasabi

Eksfiltrasi data sensitif

Defense Evasion

KillAV + driver

Terminasi proses keamanan

Impact

Enkripsi file

Deployment ransomware payload

Pendekatan ini menunjukkan bahwa Osiris dioperasikan oleh aktor yang memiliki pemahaman mendalam terhadap arsitektur Windows dan solusi endpoint security modern.

Teknik BYOVD dan Driver POORTRY

Byovd Attack 2

Apa Itu BYOVD?

Bring Your Own Vulnerable Driver (BYOVD) adalah teknik di mana penyerang memanfaatkan driver Windows yang memiliki kerentanan untuk:

  • Mendapatkan hak akses kernel

  • Menonaktifkan EDR/AV

  • Menghindari deteksi user-mode monitoring

Biasanya, pelaku menggunakan driver legitimate yang memiliki celah keamanan.

Apa yang Berbeda pada Osiris?

Osiris menggunakan pendekatan berbeda. Driver POORTRY bukanlah driver resmi yang rentan, melainkan driver kustom yang dibuat khusus untuk:

  • Elevasi hak akses (privilege escalation)

  • Terminasi proses keamanan

  • Mengintervensi proteksi kernel-level

Selain POORTRY, ditemukan juga tool KillAV, yang berfungsi untuk menyebarkan driver rentan guna menghentikan proses keamanan. Kombinasi ini memperkuat kemampuan defense evasion.

Mekanisme Enkripsi Osiris

Ecc Rsa

Osiris menggunakan skema enkripsi hibrida, umumnya menggabungkan:

  • Algoritma simetris (misalnya AES) untuk enkripsi file

  • Algoritma asimetris (misalnya RSA/ECC) untuk melindungi kunci simetris

Karakteristiknya:

  • Setiap file dienkripsi dengan kunci unik

  • File tertentu dan ekstensi tertentu bisa ditentukan secara spesifik

  • Folder sistem kritis bisa dikecualikan untuk menjaga sistem tetap bootable

  • Layanan tertentu dimatikan sebelum enkripsi

Eksfiltrasi Data: Double Extortion Strategy

Double Extortion Strategy

Sebelum enkripsi dilakukan, data sensitif korban diekstraksi menggunakan Rclone ke penyimpanan cloud Wasabi.

Model ini mengikuti pola double extortion, di mana:

  1. Data dicuri terlebih dahulu

  2. Sistem dienkripsi

  3. Korban diancam publikasi data jika tidak membayar

Bagi organisasi enterprise, dampak reputasi dan compliance (misalnya GDPR, PDP, atau regulasi industri) bisa jauh lebih merugikan daripada sekadar kehilangan data.

Living Off The Land & Dual-Use Tools

1767783757632

Osiris juga memanfaatkan pendekatan Living Off The Land (LotL), yaitu penggunaan tool sah untuk tujuan jahat.

Beberapa tools yang teridentifikasi:

  • Netscan

  • Netexec

  • MeshAgent

  • Rustdesk (versi kustom)

  • Rclone

  • Mimikatz (kaz.exe)

Karena tools ini legitimate, deteksi berbasis signature sering kali tidak cukup. Diperlukan:

  • Behavioral analytics

  • EDR dengan telemetry mendalam

  • Monitoring command-line arguments

  • Anomaly detection pada network traffic

Target Layanan dan Proses yang Dimatikan

Microsoft Office

Secara default, Osiris menghentikan berbagai layanan untuk memastikan enkripsi berjalan tanpa gangguan.

Kategori

Layanan / Aplikasi Target

Produktivitas

Microsoft Office, WordPad, Notepad

Email & Collaboration

Microsoft Exchange

Browser

Mozilla Firefox

Backup & Recovery

Volume Shadow Copy, Veeam

Sistem

Berbagai proses aktif terkait file handling

Tujuannya:

  • Menghindari file locking error

  • Mencegah pemulihan dari shadow copy

  • Menonaktifkan backup aktif

Strategi ini menghilangkan kemungkinan rollback data melalui snapshot atau backup lokal.

Perbandingan Osiris dengan Ransomware Modern Lain

Fitur

Osiris

LockBit 5.0

Akira

RansomHub

Teknik Evasion

BYOVD dengan driver custom

Loader modular

Exploit VPN

Double extortion

Bahasa Pemrograman

Tidak dipublikasikan

C/C++

C++

C++

Platform Target

Windows (indikasi Linux belum)

Multi-OS

Windows/Linux

Windows

Enkripsi Hybrid

Ya

Ya

Ya

Ya

Data Exfiltration

Rclone ke cloud

Variatif

Ya

Ya

Strategi Mitigasi dan Best Practices

Windows Defender Application Control

1. Endpoint Hardening

  • Application allowlisting (Windows Defender Application Control)

  • Kernel driver blocking policy

  • Least privilege principle

2. Network Security

  • Batasi akses RDP (VPN + MFA)

  • Zero Trust Network Access (ZTNA)

  • Segmentasi jaringan

3. Monitoring dan Detection

  • Monitor penggunaan LOLBins dan dual-use tools

  • SIEM + UEBA untuk deteksi perilaku abnormal

  • EDR dengan kernel tamper protection

4. Backup Strategy

  • Immutable backup (WORM storage)

  • Offline backup (air-gapped)

  • Regular recovery testing

5. Incident Response

  • Playbook ransomware

  • Threat hunting berkala

  • Tabletop exercise dan red team simulation

Kesimpulan

Osiris ransomware menandai era baru serangan ransomware dengan fokus pada kernel-level security bypass.

Teknik BYOVD menggunakan driver POORTRY menunjukkan bahwa threat actor kini tidak hanya mengeksploitasi celah, tetapi juga mengembangkan komponen kernel khusus untuk menonaktifkan sistem keamanan.

Ingin lebih siap menghadapi ancaman seperti Osiris Ransomware dan Ransomware modern lainnya?

🔐 Upgrade skill Anda lewat Pelatihan Cybersecurity & SOC bersama SUHU

Pelajari praktik terkait threat hunting, incident response, EDR monitoring, log analysis, hingga teknik mitigasi serangan berbasis malware multi-stage.

Berikut pelatihan yang kami rekomendasikan:

Silakan konsultasikan kebutuhan Anda bersama kami dengan klik link berikut: https://bit.ly/kontaksuhu

Tulisan ini bermanfaat bagimu?

Kata SUHU Pilihan

Lihat semua kata SUHU
Loading...