Anubis Ransomware е нарастваща заплаха, която организациите не могат да игнорират
Новопоявила се група за рансъмуер, Anubis , прави вълни в подземния свят на киберпрестъпниците. Според фирмата за разузнаване на заплахи Kela, Anubis работи като Ransomware-as-a-Service (RaaS), предлагайки на партньорите множество опции за монетизиране, включително традиционни атаки на рансъмуер, изнудване на данни и продажби на достъп.
Въпреки че е нов играч, Anubis показва признаци на опитни киберпрестъпници зад себе си, което го прави сериозна и нарастваща заплаха за бизнеса по целия свят. Ето какво трябва да знаят организациите за тази развиваща се кибер заплаха.
Съдържание
Anubis Ransomware: Какво знаем досега
Анубис се появи за първи път в края на 2024 г. и присъствието му беше проследено основно чрез активност в тъмната мрежа, а не чрез директен анализ на кода. Това затруднява оценката на техническите възможности на злонамерения софтуер, но първоначалните доклади показват, че това е много сложна операция.
Изследователите на Kela са свързали Анубис с двама киберпрестъпници, единият от които – „superSonic“ – активно набира партньори чрез подземни форуми като RAMP.
Бизнес моделът на Anubis Ransomware
Anubis не е просто още един вариант на рансъмуер - това е услуга за изнудване, предлагаща множество опции за атака на своите филиали.
- Класически рансъмуер атаки
- Използва ChaCha+ECIES криптиране.
- Насочен към Windows, Linux, NAS и ESXi x64/x32 системи.
- Управлява се чрез уеб базиран контролен панел.
- Разделяне на приходите: 80% за филиала, 20% за Анубис.
- Откуп за данни (Изнудване без криптиране)
- Партньорите продават откраднати данни, без да криптират системите на жертвите.
- Данните трябва да са ексклузивни за Анубис, откраднати през последните шест месеца и достатъчно ценни за публично излагане.
- Партньорите продават достъп до мрежата на потенциални жертви.
- Достъпът трябва да е за компании в САЩ, Европа, Канада или Австралия.
- Жертвата не трябва да е била атакувана от други групи за рансъмуер през последната година.
- Разделяне на приходите: 50% за филиала, 50% за Анубис.
Тази многостранна стратегия за изнудване е в съответствие с нарастващата тенденция на фокусирани върху кражба на данни рансъмуер атаки, които заплашват организациите чрез изтичане на чувствителни данни, вместо да ги криптират.
Първите жертви на Анубис: Здравеопазването на прицела?
Въпреки че е само на няколко месеца, Анубис вече е изброил три потвърдени жертви на своя сайт за изтичане на информация, с четвърта, неразкрита цел, маркирана като „Строго секретно“ към 25 февруари 2025 г.
Една от най-ранните потвърдени цели беше Pound Road Medical Center (PRMC), австралийски доставчик на здравни услуги. PRMC съобщи за нарушение на данните на 13 ноември 2024 г., но не спомена рансъмуер – което предполага, че Анубис може да се е фокусирал върху изнудването на данни, а не върху криптирането в този случай.
Фактът, че две от трите известни жертви на Анубис работят в здравеопазването, е тревожен. Медицинските организации отдавна са основни мишени за ransomware поради зависимостта им от данните на пациентите и повишената им вероятност да плащат откупи за защита на чувствителна информация.
Защо Anubis Ransomware е сериозна заплаха
Въпреки че все още е нов, Анубис вече показва признаци, че е голяма заплаха за киберсигурността. Ето защо:
- Опитни оператори – Структурираният модел RaaS, съчетан с технически твърдения, предполага, че Anubis се управлява от опитни киберпрестъпници, вероятно бивши членове на несъществуващи банди за рансъмуер.
- Многопластово изнудване – За разлика от традиционния ransomware, Anubis налага изнудването на данни като основен поток от приходи, което позволява на нападателите да печелят, без да използват криптиране.
- Насочване към критични сектори – Ако ранните атаки са някаква индикация, здравеопазването и други високорискови индустрии може да са ключови цели.
Как организациите могат да се защитят
С увеличаването на дейността на Anubis, бизнесът трябва да предприеме проактивни мерки за киберсигурност, за да се защити както от криптиране на рансъмуер, така и от атаки за изнудване на данни.
- Укрепване на мрежовата сигурност – Използвайте многофакторно удостоверяване (MFA) и политики за достъп с нулево доверие, за да намалите рисковете от неоторизиран достъп.
- Откриване и предотвратяване на кражба на данни – Внедрете инструменти за предотвратяване на загуба на данни (DLP), за да наблюдавате и блокирате подозрителни опити за ексфилтрация.
- Редовно архивирайте критични данни – Поддържайте офлайн, неизменни архиви за възстановяване от базирани на криптиране атаки.
- Монитор за споменавания в тъмната мрежа – Екипите за киберсигурност трябва да проследяват информационните канали за заплахи за споменавания на тяхната организация в сайтове за изтичане на рансъмуер.
- Обучение на служители – Обучете персонала относно тактиките за фишинг, кражба на идентификационни данни и социално инженерство, които обикновено се използват за получаване на първоначален достъп.
- Планиране на реакция при инциденти – Имайте ясна стратегия за справяне със заплахи за рансъмуер или изнудване на данни, включително правни и PR отговори.
Нарастваща киберзаплаха през 2025 г
Anubis може да е нов, но вече се оказва сериозен риск за бизнеса по целия свят. Неговият двоен подход на криптиране на ransomware и чисто изнудване на данни е в съответствие със съвременните тенденции в киберпрестъпността, а фокусът му върху критични сектори като здравеопазването предизвиква допълнителни тревоги.
С настъпването на 2025 г. организациите трябва да останат бдителни, да инвестират в защита на киберсигурността и да се подготвят за развиващ се пейзаж на рансъмуер – защото Anubis едва започва.
Готов ли е вашият бизнес да се защити срещу следващата атака на ransomware? Сега е моментът да действаме.