Anubis RaaS -haittaohjelma
Äskettäin löydetty kiristysohjelmakanta on herättänyt merkittävää huolta kyberturvallisuusyhteisössä ennennäkemättömän kaksoisominaisuuden vuoksi: tiedostojen salaaminen ja niiden pysyvä poistaminen. Asiantuntijoiden kuvailema "harvinainen kaksoisuhka", tämä haittaohjelma sisältää "pyyhintätilan", joka tekee tietojen palauttamisen mahdottomaksi, vaikka lunnaat maksettaisiin.
Sisällysluettelo
Tapaa Anubis: armoton kiristyshaittaohjelmia palveluna tarjoava operaatio
Anubis-niminen kiristyshaittaohjelmaoperaatio ilmestyi joulukuussa 2024 ja on jo vaatinut uhreja terveydenhuollon, hotelli- ja ravintola-alan sekä rakennusalan aloilla Australiassa, Kanadassa, Perussa ja Yhdysvalloissa. Alustavat näytteet paljastivat, että haittaohjelma oli alun perin nimeltään Sphinx, mutta kehittäjät muuttivat sen nimeä myöhemmin nykyiseksi.
Merkittävää on, että tällä Anubis-operaatiolla ei ole yhteyttä Android-pankkitroijalaiseen tai Python-pohjaiseen Anubis-takaporttiin, joka on myös nimeltään Anubis. Jälkimmäinen liittyy taloudellisesti motivoituneeseen FIN7-ryhmään (eli GrayAlpha-ryhmään).
Joustava kumppanuusohjelma korkeilla voitoilla
Anubis toimii Ransomware-as-a-Service (RaaS) -mallilla ja tarjoaa kumppaneille tuottoisia kannustimia. Ohjelmaan kuuluu:
- 80-20 jako perinteisissä lunnasmaksuissa (tytäryhtiöt säilyttävät 80 %)
- 60-40-jako tietojen kiristysjärjestelmissä
- 50-50-jako käyttöoikeuksien ansaitsemiseksi (luvattomien järjestelmien käyttöoikeuksien myyminen)
Nämä joustavat voitonjakojärjestelyt on suunniteltu houkuttelemaan laajan joukon uhkatoimijoita.
Hienostunut hyökkäysketju: tietojenkalastelusta tiedostojen pyyhkimiseen
Anubis-hyökkäykset alkavat tyypillisesti tietojenkalasteluviesteillä. Kun järjestelmä on vaarantunut, hyökkääjät:
- Eskaloi oikeuksia
- Suorita tiedustelu
- Poista varjokopiot palauttamisen estämiseksi
- Salaa tiedostot
- Valinnaisesti tyhjennä tiedot, jos se on määritetty tekemään niin
Tämä sarja on suunniteltu varmistamaan uhreille mahdollisimman suuri vahinko ja psykologinen paine.
WIPEMODE: Lisää kuumuutta uhreille
Anubisin erottuva ominaisuus on /WIPEMODE-parametri, joka mahdollistaa tiedostosisällön pysyvän poistamisen. Mielenkiintoista kyllä, haittaohjelma säilyttää tiedostonimet ja -päätteet, mutta pienentää tiedostokoon 0 kt:iin, mikä tekee palautusyrityksistä turhia. Tämä toiminnallisuus lisää huomattavasti uhrien maksupaineita, mikä on linjassa aggressiivisten ja hyvin organisoitujen kiristysohjelmaryhmien käyttämien taktiikoiden kanssa.
Johtopäätös: Panokset eivät ole koskaan olleet korkeammat
Yhdistämällä tiedostojen salauksen ja peruuttamattoman tietojen pyyhkimisen Anubis luo vaarallisen uuden ennakkotapauksen kiristyshaittaohjelmien kehityksessä. Sen toiminnallinen hienostuneisuus, rahaksi muuttamisvaihtoehdot ja tuhoisat ominaisuudet tekevät siitä valtavan uhan, jota organisaatiot eivät voi sivuuttaa. Valppaus, käyttäjätietoisuus ja vankat puolustusstrategiat ovat tärkeämpiä kuin koskaan.
