Anubis Ransomware yra didėjanti grėsmė, kurios organizacijos negali ignoruoti
Naujai besiformuojanti išpirkos programų grupė Anubis kelia bangas kibernetinių nusikaltėlių pasaulyje. Pasak grėsmių žvalgybos įmonės „Kela“, „Anubis“ veikia kaip „Ransomware-as-a-Service“ (RaaS), siūlanti filialams daugybę pajamų gavimo galimybių, įskaitant tradicines „ransomware“ atakas, duomenų prievartavimą ir prieigos pardavimą.
Nepaisant to, kad Anubis yra naujas žaidėjas, jis rodo patyrusių kibernetinių nusikaltėlių požymius, todėl tai yra rimta ir didėjanti grėsmė verslui visame pasaulyje. Štai ką organizacijos turi žinoti apie šią besivystančią kibernetinę grėsmę.
Turinys
Anubis Ransomware: ką mes žinome iki šiol
Anubis pirmą kartą pasirodė 2024 m. pabaigoje, o jo buvimas pirmiausia buvo stebimas naudojant tamsiojo interneto veiklą, o ne tiesioginę kodo analizę. Dėl to sunkiau įvertinti technines kenkėjiškos programos galimybes, tačiau pirminės ataskaitos rodo, kad tai labai sudėtinga operacija.
Kela mokslininkai susiejo Anubį su dviem kibernetiniais nusikaltėliais, iš kurių vienas – „superSonic“ – aktyviai verbavo filialus per pogrindinius forumus, tokius kaip RAMP.
Anubis Ransomware verslo modelis
Anubis nėra tik dar vienas išpirkos reikalaujančių programų variantas – tai turto prievartavimo paslauga, siūlanti daugybę atakų galimybių savo filialams.
- Klasikinės Ransomware atakos
- Naudoja ChaCha+ECIES šifravimą.
- Taikoma Windows, Linux, NAS ir ESXi x64/x32 sistemoms.
- Valdomas per internetinį valdymo skydelį.
- Pajamų padalijimas: 80 % filialui, 20 % Anubiui.
- Duomenų išpirka (prievartavimas be šifravimo)
- Filialai parduoda pavogtus duomenis nešifruodamos aukų sistemų.
- Duomenys turi būti išskirtiniai Anubiui, pavogti per pastaruosius šešis mėnesius ir pakankamai vertingi, kad juos būtų galima atskleisti.
- Filialai parduoda prieigą prie tinklo potencialioms aukoms.
- Prieiga turi būti skirta JAV, Europos, Kanados arba Australijos įmonėms.
- Per pastaruosius metus auka neturėjo būti užpulta kitų išpirkos reikalaujančių programų.
- Pajamų padalijimas: 50 % filialui, 50 % Anubiui.
Ši daugialypė turto prievartavimo strategija suderinama su augančia tendencija dėl duomenų vagystės išpirkos reikalaujančių atakų, kurios kelia grėsmę organizacijoms neskelbtinų duomenų nutekėjimu, o ne šifravimu.
Pirmosios Anubio aukos: sveikatos priežiūra kryžkelėje?
Nepaisant to, kad jam tebuvo keli mėnesiai, Anubis savo informacijos nutekėjimo svetainėje jau įtraukė tris patvirtintas aukas, o ketvirtą, neatskleistą taikinį, kuris 2025 m. vasario 25 d. pažymėtas kaip „Visiškai slaptas“.
Vienas iš anksčiausiai patvirtintų taikinių buvo Pound Road medicinos centras (PRMC), Australijos sveikatos priežiūros paslaugų teikėjas. PRMC pranešė apie duomenų pažeidimą 2024 m. lapkričio 13 d., tačiau nepaminėjo išpirkos reikalaujančios programos, o tai rodo, kad Anubis šiuo atveju galėjo sutelkti dėmesį į duomenų prievartavimą, o ne į šifravimą.
Nerimą kelia tai, kad dvi iš trijų žinomų Anubio aukų dirba sveikatos priežiūros srityje. Medicinos organizacijos ilgą laiką buvo pagrindiniai išpirkos reikalaujančių programų taikiniai, nes jos priklauso nuo pacientų duomenų ir dėl padidėjusios tikimybės mokėti išpirkas, kad apsaugotų neskelbtiną informaciją.
Kodėl Anubis Ransomware yra rimta grėsmė
Nors tai vis dar nauja, Anubis jau rodo, kad yra pagrindinė grėsmė kibernetiniam saugumui. Štai kodėl:
- Patyrę operatoriai – struktūrinis RaaS modelis kartu su techniniais reikalavimais rodo, kad Anubis valdo patyrę kibernetiniai nusikaltėliai, galbūt buvę nebeveikiančių išpirkos reikalaujančių grupuočių nariai.
- Daugiasluoksnis turto prievartavimas – skirtingai nei tradicinė išpirkos reikalaujanti programinė įranga, Anubis verčia duomenų prievartavimą kaip pagrindinį pajamų šaltinį, leidžiantį užpuolikams pasipelnyti nenaudojant šifravimo.
- Nukreipimas į svarbiausius sektorius – jei ankstyvos atakos yra kokių nors požymių, sveikatos priežiūros ir kitos didelės rizikos pramonės šakos gali būti pagrindiniai taikiniai.
Kaip organizacijos gali apsisaugoti
„Anubis“ didindamas savo veiklą, įmonės turi imtis iniciatyvių kibernetinio saugumo priemonių, kad apsisaugotų nuo išpirkos reikalaujančių programų šifravimo ir duomenų prievartavimo atakų.
- Stiprinkite tinklo saugumą – naudokite kelių veiksnių autentifikavimą (MFA) ir nulinio pasitikėjimo prieigos politiką, kad sumažintumėte neteisėtos prieigos riziką.
- Aptikti ir užkirsti kelią duomenų vagystei – įdiekite duomenų praradimo prevencijos (DLP) įrankius, kad stebėtumėte ir blokuotumėte įtartinus bandymus išfiltruoti.
- Reguliariai kurkite svarbių duomenų atsargines kopijas – palaikykite neprisijungus, nekintamas atsargines kopijas, kad atsigautumėte po šifravimo atakų.
- Stebėti tamsaus žiniatinklio paminėjimus – kibernetinio saugumo komandos turėtų sekti grėsmių žvalgybos informacijos santraukas, kuriose minima jų organizacija išpirkos reikalaujančiose programinės įrangos nutekėjimo svetainėse.
- Darbuotojų mokymas – mokykite darbuotojus apie sukčiavimo, kredencialų vagystės ir socialinės inžinerijos taktiką, dažniausiai naudojamą norint gauti pradinę prieigą.
- Reagavimo į incidentus planavimas – turėkite aiškią strategiją, kaip kovoti su išpirkos reikalaujančiomis programomis arba duomenų prievartavimo grėsmėmis, įskaitant teisines ir viešųjų ryšių priemones.
Didėjanti kibernetinė grėsmė 2025 m
„Anubis“ gali būti naujas, tačiau jau įrodyta, kad jis kelia rimtą pavojų verslui visame pasaulyje. Jo dvigubas požiūris – išpirkos reikalaujančių programų šifravimas ir grynas duomenų prievartavimas – dera su šiuolaikinėmis kibernetinio nusikaltimo tendencijomis, o dėmesys kritiniams sektoriams, pavyzdžiui, sveikatos priežiūrai, kelia papildomų pavojų.
Artėjant 2025 m., organizacijos turi išlikti budrios, investuoti į kibernetinio saugumo apsaugą ir pasiruošti besivystančiam išpirkos reikalaujančių programų aplinkai, nes Anubis tik pradeda.
Ar jūsų verslas pasiruošęs apsiginti nuo kitos išpirkos programinės įrangos atakos? Dabar pats laikas veikti.