Anubis Ransomware on tõusev oht, mida organisatsioonid ei saa ignoreerida

Aastaks Mura aastal Arvuti turvalisus

Tõlgi:

Äsja esilekerkiv lunavaragrupp Anubis lööb küberkurjategijate allilmas laineid. Ohu luurefirma Kela andmetel tegutseb Anubis kui Ransomware-as-a-Service (RaaS), pakkudes sidusettevõtetele mitmeid monetiseerimisvõimalusi, sealhulgas traditsioonilisi lunavararünnakuid, andmete väljapressimist ja juurdepääsu müüki.

Hoolimata sellest, et Anubis on uus mängija, näitab tema taga märke kogenud küberkurjategijatest, mis muudab selle tõsiseks ja kasvavaks ohuks ettevõtetele kogu maailmas. Siin on, mida organisatsioonid peavad selle areneva küberohu kohta teadma.

Sisukord

Anubis Ransomware: mida me seni teame

Anubis ilmus esmakordselt 2024. aasta lõpus ja selle olemasolu on peamiselt jälgitud tumeda veebitegevuse, mitte otsese koodianalüüsi kaudu. See raskendab pahavara tehniliste võimaluste hindamist, kuid esialgsed aruanded viitavad sellele, et tegemist on väga keeruka toiminguga.

Kela teadlased on Anubise seostanud kahe küberkurjategijaga, kellest üks – 'superSonic' – on maa-aluste foorumite, nagu RAMP, kaudu aktiivselt värbanud sidusettevõtteid.

Anubis Ransomware ärimudel

Anubis ei ole lihtsalt järjekordne lunavaravariant – see on väljapressimisteenus, mis pakub oma sidusettevõtetele mitmeid rünnakuvõimalusi.

Klassikalised lunavararünnakud
- Kasutab ChaCha+ECIES krüptimist.
- Sihib Windowsi, Linuxi, NAS-i ja ESXi x64/x32 süsteeme.
- Hallatakse veebipõhise juhtpaneeli kaudu.
- Tulude jaotus: 80% sidusettevõttele, 20% Anubisele.
Andmete lunaraha (väljapressimine ilma krüptimiseta)
- Sidusettevõtted müüvad varastatud andmeid ilma ohvrite süsteeme krüpteerimata.
- Andmed peavad olema ainult Anubise jaoks, varastatud viimase kuue kuu jooksul ja piisavalt väärtuslikud avalikkusele avaldamiseks.

Tulude jaotus: 60% sidusettevõttele, 40% Anubisele.

Juurdepääs monetiseerimiseks

Sidusettevõtted müüvad potentsiaalsetele ohvritele juurdepääsu võrgule.
Juurdepääs peab olema USA, Euroopa, Kanada või Austraalia ettevõtete jaoks.
Ohvrit ei tohi olla rünnatud viimase aasta jooksul teiste lunavaragruppide poolt.
Tulude jaotus: 50% sidusettevõttele, 50% Anubisele.

See mitmetahuline väljapressimisstrateegia on kooskõlas andmevargustele keskendunud lunavararünnakute kasvava trendiga, mis ohustab organisatsioone tundlike andmete lekitamisega, mitte nende krüptimisega.

Anubise esimesed ohvrid: tervishoid ristis?

Vaatamata sellele, et Anubis on vaid paar kuud vana, on ta oma lekkekohal juba loetlenud kolm kinnitatud ohvrit ja neljas, avalikustamata sihtmärk, mis on 25. veebruari 2025 seisuga märgitud kui "Täiesti salajane".

Üks varasemaid kinnitatud sihtmärke oli Austraalia tervishoiuteenuse osutaja Pound Road Medical Center (PRMC). PRMC teatas andmerikkumisest 13. novembril 2024, kuid ei maininud lunavara, mis viitab sellele, et Anubis võis antud juhul keskenduda andmete väljapressimisele, mitte krüpteerimisele.

Murettekitav on asjaolu, et Anubise kolmest teadaolevast ohvrist kaks tegutsevad tervishoius. Meditsiiniorganisatsioonid on pikka aega olnud peamised lunavara sihtmärgid, kuna nad sõltuvad patsientide andmetest ja on suurenenud tõenäosus maksta tundliku teabe kaitsmiseks lunaraha.

Miks Anubis Ransomware on tõsine oht?

Kuigi see on veel uus, näitab Anubis juba märke suurest küberjulgeolekuohust. Siin on põhjus:

Kogenud operaatorid – struktureeritud RaaS-i mudel koos tehniliste väidetega viitab sellele, et Anubist juhivad kogenud küberkurjategijad, võib-olla endised lunavarajõukude liikmed.
Mitmekihiline väljapressimine – erinevalt traditsioonilisest lunavarast kasutab Anubis andmete väljapressimist peamise tuluallikana, võimaldades ründajatel kasu saada ilma krüptimist kasutamata.
Kriitiliste sektorite sihtimine – kui varajased rünnakud viitavad sellele, võivad peamised sihtmärgid olla tervishoid ja muud kõrge riskiga tööstusharud.

Keeruline pahavara – kuigi ühtegi näidist pole veel avalikult analüüsitud, viitab ChaCha+ECIES krüptimise ja platvormideülese toe (Windows, Linux, NAS ja ESXi) väidetav kasutamine täiustatud ründetööriistade komplektile.

Kuidas organisatsioonid saavad end kaitsta

Kuna Anubis suurendab oma tegevust, peavad ettevõtted võtma ennetavaid küberjulgeolekumeetmeid, et kaitsta end nii lunavara krüptimise kui ka andmete väljapressimise rünnakute eest.

Võrguturbe tugevdamine – volitamata juurdepääsu riskide vähendamiseks kasutage mitmefaktorilist autentimist (MFA) ja null-usalduspõhist juurdepääsupoliitikat.
Andmete varguse tuvastamine ja ennetamine – kahtlaste väljafiltrimiskatsete jälgimiseks ja blokeerimiseks kasutage andmekao vältimise (DLP) tööriistu.
Kriitiliste andmete korrapärane varundamine – säilitage võrguühenduseta muutumatuid varukoopiaid, et taastuda krüpteerimispõhistest rünnakutest.
Jälgige tumeda veebi mainimist – küberjulgeoleku meeskonnad peaksid jälgima ohtude luurevooge nende organisatsiooni mainimiste osas lunavaralekke saitidel.
Töötajate koolitus – õpetage töötajaid andmepüügi, volikirja varguse ja sotsiaalse manipuleerimise taktikate kohta, mida tavaliselt kasutatakse esmase juurdepääsu saamiseks.
Juhtumitele reageerimise planeerimine – omage selget strateegiat lunavara või andmete väljapressimisega seotud ohtude käsitlemiseks, sealhulgas juriidilised ja suhtekorralduslikud vastused.

Kasvav küberoht 2025. aastal

Anubis võib olla uus, kuid see on juba osutunud tõsiseks ohuks ettevõtetele kogu maailmas. Selle kahekordne lähenemine lunavara krüptimisele ja andmete väljapressimisele ühtib tänapäevaste küberkuritegevuse suundumustega ning keskendumine kriitilistele sektoritele, nagu tervishoid, tekitab täiendavaid häireid.

2025. aasta arenedes peavad organisatsioonid olema valvsad, investeerima küberturvalisuse kaitsesse ja valmistuma arenevaks lunavaramaastikuks – kuna Anubis alles alustab.

Kas teie ettevõte on valmis kaitsma järgmise lunavararünnaku eest? Nüüd on aeg tegutseda.

EnigmaSofti makseprotsessor Digital River GmbH pankrotiavalduse esitamine ei mõjuta SpyHunteri klientide pahavaravastast kaitset

Otsing

Vaheta piirkonda