Anubis RaaS 맬웨어

새롭게 발견된 랜섬웨어 변종은 전례 없는 이중 기능, 즉 파일 암호화와 영구 삭제라는 기능으로 사이버 보안 업계에 심각한 우려를 불러일으켰습니다. 전문가들은 이를 '드문 이중 위협'이라고 묘사하며, 몸값을 지불하더라도 데이터 복구가 불가능한 '삭제 모드'를 포함하고 있다고 밝혔습니다.

Anubis를 만나보세요: 무자비한 랜섬웨어 서비스형 공격

아누비스(Anubis)로 알려진 이 랜섬웨어 작전은 2024년 12월에 시작되어 이미 호주, 캐나다, 페루, 미국의 의료, 접객, 건설 부문에서 피해자를 냈습니다. 초기 샘플에서 이 맬웨어는 원래 스핑크스(Sphinx)라는 이름으로 출시되었지만, 개발자들은 이후 현재의 이름으로 이름을 변경했습니다.

중요한 점은 이 아누비스 작전이 안드로이드 뱅킹 트로이 목마나 역시 아누비스라고 불리는 파이썬 기반 백도어와 관련이 없다는 것입니다. 후자는 금전적 이익을 노리는 FIN7(일명 GrayAlpha) 그룹과 관련이 있습니다.

높은 지급액을 제공하는 유연한 제휴 프로그램

아누비스는 랜섬웨어 서비스(RaaS) 모델을 기반으로 운영되며, 제휴사에게 높은 수익률을 제공합니다. 이 프로그램에는 다음이 포함됩니다.

• 기존 몸값 지불 시 80-20 분할(제휴사가 80% 보유)
• 데이터 강탈 계획에 대한 60-40 분할
• 시스템에 대한 무단 액세스 판매(액세스 수익화)를 위한 50-50 분할

이러한 유연한 이익 분배 방식은 광범위한 위협 행위자를 유인하도록 설계되었습니다.

정교한 공격 체인: 피싱부터 파일 삭제까지

아누비스 공격은 일반적으로 피싱 이메일을 초기 진입점으로 삼아 시작됩니다. 시스템이 침해되면 공격자는 다음과 같은 행위를 합니다.

• 권한 확대
• 정찰을 수행하다
• 복구를 방지하려면 볼륨 섀도 복사본을 삭제하세요.
• 파일 암호화
• 선택적으로 그렇게 구성된 경우 데이터를 삭제합니다.

이러한 시퀀스는 피해자에게 최대의 피해와 심리적 압박을 가하도록 설계되었습니다.

WIPEMODE: 피해자들에게 가하는 압박

Anubis의 가장 눈에 띄는 기능은 /WIPEMODE 매개변수로, 파일 내용을 영구적으로 삭제할 수 있습니다. 흥미롭게도, 이 맬웨어는 파일 이름과 확장자는 그대로 유지하지만 파일 크기를 0KB로 줄여 복구 노력을 무용지물로 만듭니다. 이 기능은 공격적이고 조직적인 랜섬웨어 조직의 전술과 맞물려 피해자들의 몸값 지불 압력을 크게 증가시킵니다.

결론: 위험은 그 어느 때보다 높아졌습니다.

파일 암호화와 되돌릴 수 없는 데이터 삭제 기능을 결합한 아누비스는 랜섬웨어 진화에 있어 위험한 새로운 전례를 제시합니다. 정교한 운영 방식, 수익화 옵션, 그리고 파괴적인 능력은 조직이 간과할 수 없는 강력한 위협입니다. 경계, 사용자 인식, 그리고 강력한 방어 전략이 그 어느 때보다 중요합니다.