Зловреден софтуер Anubis RaaS
Новооткрит щам на ransomware предизвика сериозни опасения в общността по киберсигурност заради безпрецедентната си двойна способност: криптиране на файлове и трайното им изтриване. Описан от експерти като „рядка двойна заплаха“, този зловреден софтуер включва „режим на изтриване“, който прави възстановяването на данни невъзможно, дори ако е платен откуп.
Съдържание
Запознайте се с Анубис: Безмилостна операция „Ransomware-as-a-Service“
Рансъмуер операцията, известна като Anubis, се появи през декември 2024 г. и вече е взела жертви в секторите на здравеопазването, хотелиерството и строителството в Австралия, Канада, Перу и Съединените щати. Първоначалните проби разкриха, че зловредният софтуер първоначално е бил наречен Sphinx, но по-късно разработчиците са го преименували под сегашното име.
Важно е да се отбележи, че тази операция на Anubis не е свързана с банковия троянец за Android или с базираната на Python задна врата, също наречена Anubis, като последната е свързана с финансово мотивираната група FIN7 (известна още като GrayAlpha).
Гъвкава партньорска програма с високи печалби
Anubis работи по модела „Ransomware-as-a-Service“ (RaaS), предлагайки на партньорите си доходоносни стимули. Програмата включва:
- 80-20 разделение за традиционните плащания за откуп (партньорите задържат 80%)
- 60-40 разделение за схеми за изнудване на данни
- 50-50 разделяне за монетизация на достъпа (продажба на неоторизиран достъп до системи)
Тези гъвкави споразумения за разпределение на печалбата са предназначени да привлекат широк кръг от заплашителни участници.
Сложна верига за атаки: от фишинг до изтриване на файлове
Атаките на Anubis обикновено започват с фишинг имейли като начална точка за влизане. След като системата бъде компрометирана, нападателите:
- Ескалиране на привилегии
- Провеждане на разузнаване
- Изтрийте скритите копия на тома, за да предотвратите възстановяването му
- Шифроване на файлове
- По желание изтрийте данни, ако е конфигурирано да го правите
Тази последователност е предназначена да осигури максимални щети и психологически натиск върху жертвите.
WIPEMODE: Засилване на напрежението върху жертвите
Забележителна характеристика на Anubis е параметърът /WIPEMODE, който позволява трайно изтриване на съдържанието на файловете. Интересното е, че зловредният софтуер запазва имената и разширенията на файловете, но намалява размера им до 0 KB, което прави усилията за възстановяване безполезни. Тази функционалност значително увеличава натиска върху жертвите да плащат, което е в съответствие с тактиките, използвани от агресивни и добре организирани групи за рансъмуер.
Заключение: Залогът никога не е бил по-висок
С комбинацията си от криптиране на файлове и необратимо изтриване на данни, Anubis създава опасен нов прецедент в еволюцията на ransomware. Неговата оперативна сложност, опции за монетизация и разрушителни възможности го правят страховита заплаха, която организациите не могат да си позволят да игнорират. Бдителността, осведомеността на потребителите и стабилните стратегии за защита са по-важни от всякога.
