Kebanyakan orang membayangkan ransomware itu “ketahuan” saat layar sudah menampilkan pesan tebusan dan file mendadak tak bisa dibuka, padahal dalam banyak kasus modern, proses serangannya sudah berjalan jauh sebelum tahap enkripsi terjadi. Masalahnya, pola itu makin sering tidak berlaku. Ransomware generasi baru cenderung bekerja diam-diam: mengamati, menyiapkan jalan, melemahkan pertahanan, lalu baru menghantam ketika semuanya sudah terlambat untuk diselamatkan dengan cara biasa.
Osiris jadi contoh yang relevan untuk memahami perubahan itu. Ia muncul sebagai ransomware baru yang dikaitkan dengan serangan pada organisasi besar, dan yang membuatnya menonjol bukan hanya soal enkripsi, melainkan rangkaian tekniknya yang rapi, efisien, dan dirancang untuk membuat sistem keamanan seperti “tidak sempat bereaksi”. Kalau kamu ingin memahami mengapa banyak serangan ransomware modern terasa datang tanpa tanda, Osiris memberi gambaran yang jelas.
Apa Itu Osiris Ransomware
Osiris adalah ransomware jenis baru yang terungkap lewat investigasi peneliti keamanan setelah menyerang target enterprise. Meski namanya mengingatkan pada “Osiris” yang pernah muncul bertahun-tahun lalu sebagai turunan Locky, kasus ini diposisikan sebagai keluarga berbeda. Jadi, pembahasannya bukan nostalgia varian lama, melainkan contoh baru tentang bagaimana ransomware modern membangun serangan.
Osiris biasanya tidak berdiri sebagai satu program yang “masuk lalu langsung mengunci file”. Ia muncul sebagai bagian akhir dari operasi yang lebih besar. Dalam operasi semacam ini, penyerang mengejar dua hal sekaligus: memastikan sistem pertahanan tidak mengganggu proses, dan memastikan ada tekanan tambahan lewat pencurian data sebelum enkripsi dilakukan. Hasil akhirnya membuat korban berada di posisi sulit: memulihkan data saja belum tentu cukup, karena data sensitif bisa saja sudah berada di tangan pelaku.
Dari sini, konteksnya jadi lebih mudah dipahami: Osiris bukan sekadar ancaman enkripsi, melainkan contoh ransomware modern yang menggabungkan sabotase keamanan, pencurian data, dan penguncian sistem dalam satu rangkaian.
Mengapa Osiris Disebut Sulit Dideteksi
Label “sulit dideteksi” sering dipakai berlebihan, jadi bagian ini perlu jujur dan konkret. Osiris bukan berarti mustahil dideteksi, tetapi punya kebiasaan yang membuat banyak kontrol keamanan terlambat menangkapnya, terutama bila organisasi masih bergantung pada pola deteksi lama.
Pertama, Osiris tidak selalu menyalakan alarm dengan perilaku “ransomware klasik” di awal. Ia bisa datang setelah penyerang sudah punya akses yang cukup stabil ke jaringan. Dalam fase itu, aktivitas yang terlihat di log bisa tampak seperti pekerjaan admin: mengelola layanan, menjalankan tool yang umum dipakai, atau memindahkan data. Kalau pengawasan hanya fokus pada file yang tiba-tiba terenkripsi, kamu baru melihat masalah saat tahap terakhir sudah berjalan.
Kedua, Osiris dan operasi sejenisnya sering memanfaatkan pendekatan yang dikenal sebagai living off the land dan penggunaan tool dual-use, sebuah teknik yang juga kerap muncul pada berbagai kasus malware modern yang memanfaatkan alat sah untuk tujuan berbahaya. Artinya, penyerang menyalahgunakan alat yang sebenarnya sah—alat yang juga dipakai tim IT atau admin sistem—untuk tujuan jahat. Karena alatnya “normal”, sinyal ancamannya jadi lebih tipis. Ini salah satu alasan kenapa banyak lingkungan enterprise merasa “tidak melihat apa-apa” sampai akhirnya layanan mati dan file terkunci.
Ketiga, ada fokus khusus untuk mematikan atau melewati software keamanan sebelum enkripsi dimulai. Begitu perlindungan endpoint tak lagi efektif, peluang ransomware berjalan mulus meningkat drastis. Jadi, “sulit dideteksi” di sini lebih tepat dimaknai sebagai: Osiris bekerja dengan cara yang mengurangi peluang sistem keamanan mengambil tindakan pada waktu yang masih berguna.
Kalau kamu melihat tren ini sebagai pola, maka kasus Osiris terasa masuk akal: keberhasilannya banyak ditentukan oleh apa yang terjadi sebelum enkripsi, bukan saat enkripsi terjadi.
Teknik BYOVD di Balik Serangan Osiris
Salah satu bagian paling menarik dari kasus Osiris adalah penggunaan teknik BYOVD, singkatan dari bring your own vulnerable driver. Secara konsep, BYOVD memanfaatkan driver—komponen tingkat rendah di sistem operasi yang punya akses sangat dalam—untuk mendapatkan kendali yang lebih tinggi atau untuk menonaktifkan mekanisme keamanan.
Dalam banyak kasus BYOVD, penyerang membawa driver yang sah tapi punya celah keamanan, lalu mengeksploitasinya untuk melakukan hal-hal yang seharusnya tidak diizinkan. Namun pada Osiris, yang diangkat adalah driver berbahaya bernama POORTRY yang digunakan untuk mematikan software keamanan sebelum ransomware dijalankan. Ini membuat dampaknya lebih serius, karena fokusnya bukan sekadar “memanfaatkan bug”, tetapi memanfaatkan jalur yang memberi kemampuan memotong pertahanan di level yang lebih sulit dilawan.
Kenapa driver jadi senjata yang efektif? Karena pada level driver, banyak proteksi user-space tidak lagi punya daya. Kalau kamu membayangkan sistem keamanan sebagai penjaga gerbang di permukaan, driver itu seperti jalur servis di bawah bangunan yang jarang diawasi dan punya akses ke banyak ruangan. Saat penyerang menguasai jalur itu, mereka bisa mematikan kamera, membungkam alarm, lalu bekerja leluasa.
Pada beberapa laporan investigasi, juga ditemukan tool seperti KillAV yang fungsinya menghentikan proses keamanan dengan memanfaatkan driver rentan. Kombinasi seperti ini memperlihatkan bahwa Osiris bukan mengandalkan “satu trik”, melainkan rangkaian taktik untuk memastikan kontrol keamanan runtuh terlebih dulu.
Setelah memahami BYOVD dan peran driver, kamu bisa melihat mengapa ransomware modern tidak selalu butuh “mengakali antivirus” lewat file yang samar. Mereka bisa memilih jalan yang lebih keras: menyingkirkan antivirusnya.
Rantai Serangan Osiris dari Awal hingga Enkripsi
Agar kamu tidak melihat Osiris sebagai satu file jahat semata, lebih berguna membacanya sebagai rangkaian kejadian. Pola ini bisa bervariasi antar korban, tetapi dari temuan investigasi yang beredar, ada beberapa fase yang konsisten.
Fase pertama adalah akses dan penguatan kendali. Dalam beberapa kasus, akses jarak jauh seperti RDP diaktifkan atau dimanfaatkan untuk memudahkan kontrol. Ini bukan berarti RDP selalu salah, tetapi saat RDP terbuka tanpa pengamanan kuat, ia sering jadi jalur favorit karena memberi kontrol langsung seperti berada di depan mesin. Pada fase ini, pelaku juga bisa melakukan credential abuse, menaikkan hak akses, dan memetakan jaringan.
Fase kedua adalah menonaktifkan pertahanan. Di sinilah BYOVD dan driver seperti POORTRY relevan. Tujuannya jelas: mematikan software keamanan lebih dulu, sehingga langkah berikutnya tidak terganggu. Pada titik ini, banyak organisasi masih merasa keadaan “baik-baik saja” karena layanan utama mungkin masih berjalan.
Fase ketiga adalah eksplorasi dan penyalahgunaan tool yang sah. Penyerang dapat menjalankan alat sistem, memindahkan file, menyiapkan script, dan mengakses resource yang seharusnya hanya dilakukan admin internal. Karena banyak aktivitasnya mirip pekerjaan operasional, deteksinya menuntut kualitas monitoring yang fokus pada perilaku, bukan hanya nama tool.
Fase keempat adalah eksfiltrasi data. Pada laporan yang diangkat, data sensitif diekstraksi menggunakan Rclone ke penyimpanan cloud seperti Wasabi sebelum ransomware dijalankan. Ini mengubah karakter serangan: bahkan jika kamu berhasil memulihkan file dari backup, kamu tetap berhadapan dengan risiko kebocoran data. Di sinilah tekanan kepada korban meningkat karena ancamannya tidak hanya downtime, tetapi juga reputasi, kepatuhan, dan potensi pemerasan berlapis.
Fase kelima baru enkripsi dan pemutusan layanan. Osiris digambarkan memakai skema enkripsi hibrida dan kunci unik per file, yang secara praktis mempersulit pemulihan tanpa kunci. Selain itu, ia bisa menghentikan layanan tertentu, menentukan target folder, menghentikan proses aktif, lalu menampilkan catatan tebusan. Ada juga perilaku mematikan layanan terkait aplikasi produktivitas dan layanan sistem tertentu agar enkripsi berjalan mulus, termasuk upaya mengganggu mekanisme backup seperti Volume Shadow Copy dan software backup.
Urutan ini penting karena mengubah cara kamu menilai “kapan serangan dimulai”. Saat layar menampilkan pesan tebusan, sering kali kamu sudah berada di bab terakhir.
Kenapa Antivirus dan Backup Sering Gagal Menghadapi Osiris
Banyak organisasi merasa sudah “cukup aman” karena punya antivirus dan rutin backup. Kasus seperti Osiris memperlihatkan celah di asumsi itu, bukan untuk menyalahkan alatnya, melainkan untuk menjelaskan keterbatasannya.
Antivirus dan EDR bekerja efektif saat punya kesempatan melihat dan menghentikan proses jahat. Jika penyerang lebih dulu mematikan komponen keamanan melalui jalur driver atau teknik penghentian layanan, maka alat keamanan kehilangan kendali. Bukan karena mereka tidak canggih, tetapi karena mereka dipaksa “diam” sebelum sempat bertindak.
Di sisi backup, masalahnya sering bukan pada ada atau tidaknya backup, melainkan bentuk dan lokasinya. Jika backup berada di lingkungan yang sama, terhubung penuh, atau bisa diakses dengan kredensial yang juga bisa dicuri penyerang, maka backup bisa ikut jadi target. Itulah mengapa Osiris disebut mematikan komponen yang mengganggu enkripsi dan pemulihan, termasuk mekanisme shadow copy dan layanan backup tertentu. Tujuannya jelas: membuat korban kehilangan opsi pemulihan cepat.
Hal yang sering luput adalah fakta bahwa ransomware modern tidak lagi bertaruh pada “enkripsi saja”. Mereka mengejar kepastian bahwa korban kesulitan pulih, lalu menambah tekanan dengan pencurian data. Karena itu, pendekatan satu lapis—antivirus saja atau backup saja—tidak lagi memadai sebagai fondasi.
Kalau kamu ingin membaca kasus Osiris sebagai pelajaran, pelajarannya bukan “ganti antivirus”, melainkan “perkuat rantai pertahanan sebelum ransomware mencapai tahap akhir”.
Kaitan Osiris dengan Kelompok Ransomware Global
Dalam investigasi, ada indikasi yang mengarah pada kemungkinan keterkaitan teknik dan alat dengan kelompok ransomware tertentu, termasuk kesamaan tool dan pola, seperti penggunaan varian Mimikatz dengan nama file tertentu yang pernah muncul pada operasi kelompok lain. Ini tidak otomatis berarti pelakunya sama, tetapi cukup untuk menunjukkan satu hal: ekosistem ransomware punya kebiasaan berbagi taktik, membeli tool, atau meniru metode yang terbukti efektif.
Secara tren, angka klaim serangan ransomware pada 2025 juga menggambarkan bahwa ransomware tetap aktif dan terus berevolusi, baik melalui eksploitasi akses jarak jauh, penyalahgunaan driver, maupun lahirnya ransomware lintas platform yang ditulis dalam bahasa pemrograman modern. Saat kamu melihat Osiris dalam konteks ini, ia terasa sebagai bagian dari arus besar, bukan kejadian unik yang hanya terjadi sekali.
Konsekuensinya sederhana: teknik yang dipakai Osiris bisa saja muncul lagi dalam bentuk lain, dengan nama lain, pada target lain. Fokus terbaik bukan menghafal nama, melainkan memahami polanya.
Cara Organisasi Mengurangi Risiko Serangan Osiris
Tidak ada resep yang membuat sistem “kebal”, tetapi ada langkah yang realistis untuk menurunkan peluang serangan seperti Osiris berhasil dan untuk memperkecil dampaknya bila insiden terjadi.
Langkah pertama biasanya dimulai dari akses jarak jauh. Jika RDP digunakan, pastikan ia tidak terbuka luas, wajib memakai autentikasi kuat, idealnya dengan MFA, dan diproteksi dengan kontrol jaringan yang ketat. Banyak insiden enterprise dimulai dari akses yang terlihat sepele, lalu berubah jadi eskalasi besar karena kredensial yang bocor atau konfigurasi yang longgar.
Langkah kedua adalah pengawasan terhadap aktivitas yang kelihatannya “normal” tapi berisiko tinggi. Tool dual-use seperti Rclone, alat administrasi jarak jauh, atau utilitas sistem lain tidak harus dilarang total, tetapi perlu dipantau dengan konteks: siapa yang menjalankan, dari perangkat mana, pada jam apa, dengan pola akses seperti apa, dan apakah ada indikasi pemindahan data massal. Dalam operasi ransomware modern, sinyal bahaya sering hadir sebagai perubahan perilaku, bukan nama file yang mencurigakan.
Langkah ketiga adalah kontrol terhadap driver dan eksekusi pada endpoint. Teknik BYOVD membuat kontrol di level driver jadi penting. Praktik seperti application allowlisting dapat membantu membatasi apa yang boleh dijalankan, bukan hanya memblokir yang jahat. Ini bisa terasa “ketat” bagi operasional, tetapi untuk lingkungan yang kritikal, ia sering lebih efektif daripada mengejar blacklist yang terus berubah.
Langkah keempat adalah desain backup yang tidak mudah disentuh penyerang. Backup yang aman bukan hanya “ada”, tetapi juga terisolasi. Banyak organisasi mulai mengadopsi konsep immutable backup atau backup yang tidak mudah diubah/dihapus, serta menyimpan salinan di lokasi terpisah yang aksesnya tidak bisa dicapai hanya dengan satu kredensial admin. Kuncinya adalah memastikan skenario pemulihan tetap mungkin meski jaringan utama disusupi.
Langkah kelima menyentuh kesiapan respon insiden. Prosedur yang jelas soal isolasi mesin, pemutusan akses tertentu, triase log, dan komunikasi internal sering menentukan apakah insiden berhenti di satu segmen atau menyebar ke seluruh jaringan. Dalam serangan ransomware modern, menit pertama sering lebih berharga daripada jam pertama.
Jika kamu ingin merangkumnya sebagai prinsip, maka prinsipnya seperti ini: serangan seperti Osiris berhasil saat penyerang diberi waktu. Semakin cepat kamu memotong akses, memutus jalur lateral movement, dan mencegah pemadaman pertahanan, semakin kecil peluang serangan mencapai tahap enkripsi.
Kesimpulan
Kasus Osiris menunjukkan bahwa ancaman ransomware hari ini tidak lagi bergantung pada kejutan di akhir, melainkan pada ketenangan di awal. Serangan berhasil bukan karena sistem tidak dilindungi, tetapi karena perlindungan tersebut dilumpuhkan lebih dulu, sering kali dengan cara yang terlihat sah dan tidak mencolok. Saat enkripsi akhirnya muncul, keputusan strategis sebenarnya sudah dibuat oleh penyerang sejak lama.
Dari sini, fokus pertahanan tidak seharusnya berhenti pada upaya memulihkan data setelah insiden. Yang jauh lebih menentukan adalah bagaimana sebuah organisasi menjaga agar kontrol keamanannya tidak mudah dinonaktifkan, jalur akses tidak berkembang tanpa pengawasan, dan aktivitas yang tampak normal tetap diuji melalui konteks perilaku. Ransomware modern memanfaatkan kelengahan struktural, bukan sekadar celah teknis.
Pelajaran terpenting dari Osiris bukan tentang mengenali satu nama ancaman, melainkan memahami pola di baliknya. Ketika akses dibatasi dengan disiplin, eksekusi berisiko dikendalikan, dan alur data diawasi dengan sadar, ruang gerak penyerang menyempit secara signifikan. Pada kondisi itu, ransomware kehilangan kekuatan utamanya: waktu, kendali, dan ketidaksadaran korban.
Itulah informasi menarik tentang Osiris Ransomware yang bisa kamu eksplorasi lebih dalam di artikel populer Akademi crypto di INDODAX. Selain memperluas wawasan investasi, kamu juga bisa terus update dengan berita crypto terkini dan pantau langsung pergerakan harga aset digital di INDODAX Market.
Untuk pengalaman trading yang lebih personal, jelajahi juga layanan OTC trading kami di INDODAX. Jangan lupa aktifkan notifikasi agar kamu selalu mendapatkan informasi terkini seputar aset digital, teknologi blockchain, dan berbagai peluang trading lainnya hanya di INDODAX Academy.
Kamu juga dapat mengikuti berita terbaru kami melalui Google News untuk akses informasi yang lebih cepat dan terpercaya. Untuk pengalaman trading yang mudah dan aman, download aplikasi crypto terbaik dari INDODAX di App Store atau Google Play Store.
Maksimalkan juga aset kripto kamu dengan fitur INDODAX Staking/Earn, cara praktis untuk mendapatkan penghasilan pasif dari aset yang kamu simpan. Segera register di INDODAX dan lakukan KYC dengan mudah untuk mulai trading crypto lebih aman, nyaman, dan terpercaya!
Dalam praktekknya, transparansi aset kini diadopsi oleh sejumlah platform kripto, salah satunya melalui publikasi data Proof of Reserves (PoR) dari pihak ketiga seperti CoinMarketCap. Di Indonesia, Indodax termasuk platform yang secara rutin memperbarui informasi tersebut agar dapat diakses publik.
Kontak Resmi Indodax
Nomor Layanan Pelanggan: (021) 5065 8888 | Email Bantuan: [email protected]
Ikuti juga sosial media kami di sini: Instagram, X, Youtube & Telegram
FAQ
1. Apakah Osiris ransomware menargetkan pengguna individu
Laporan yang banyak dibahas mengarah pada target organisasi dan lingkungan enterprise, karena teknik yang dipakai—seperti pemadaman software keamanan, pemanfaatan driver, dan eksfiltrasi data—biasanya muncul pada operasi yang butuh akses jaringan dan kontrol yang lebih luas. Itu tidak berarti pengguna individu aman, tetapi risikonya lebih sering muncul di perusahaan yang punya aset data besar dan infrastruktur kompleks.
2. Kenapa ransomware seperti Osiris sulit dideteksi antivirus
Karena banyak aktivitas awalnya tidak terlihat seperti “ransomware klasik”. Penyerang bisa memakai tool yang sah, menjalankan aktivitas mirip admin, lalu menonaktifkan komponen keamanan sebelum enkripsi berjalan. Jika kontrol keamanan hanya mengandalkan pola file berbahaya atau indikator sederhana, peluang untuk menangkap fase awal jadi lebih kecil.
3. Apakah membayar tebusan menjamin data kembali
Tidak ada jaminan. Dalam banyak kasus ransomware, pembayaran tidak otomatis berarti kunci dekripsi akan diberikan, atau kunci tersebut akan bekerja sempurna. Bahkan jika file berhasil dipulihkan, risiko lain tetap ada: data bisa saja sudah dicuri dan dipakai untuk pemerasan lanjutan. Karena itu, keputusan saat insiden sebaiknya mengacu pada prosedur respon insiden, penilaian risiko, serta arahan legal dan kepatuhan.
4. Apakah backup cloud aman dari ransomware seperti Osiris
Backup di cloud bisa membantu, tetapi “cloud” tidak otomatis aman. Jika backup terhubung dengan kredensial yang bisa dicuri, atau jika backup bisa dihapus/diubah tanpa kontrol tambahan, ia tetap berisiko. Pendekatan yang lebih kuat biasanya menggabungkan backup terisolasi, kontrol akses ketat, dan opsi immutable backup agar pemulihan tetap mungkin meski akses utama disusupi.
5. Apa pelajaran utama dari kasus Osiris ransomware
Pelajaran terbesarnya adalah memahami bahwa serangan ransomware modern lebih sering dimenangkan sebelum enkripsi terjadi. Ketika penyerang sudah berhasil mematikan pertahanan dan memindahkan data, korban kehilangan banyak opsi. Karena itu, penguatan akses, pemantauan perilaku, pembatasan eksekusi berisiko, dan desain backup yang tahan gangguan menjadi faktor yang lebih menentukan daripada sekadar mengandalkan satu alat keamanan.
Polkadot 2.25%
BNB 0.52%
Solana 4.62%
Ethereum 2.32%
Cardano 1.02%
Polygon Ecosystem Token 1.87%
Tron 2.75%
Pasar
