Anubis RaaS-skadevare
En nylig oppdaget ransomware-stamme har skapt betydelig bekymring i nettsikkerhetsmiljøet på grunn av sin enestående doble evne: kryptering av filer og permanent sletting av dem. Denne skadelige programvaren, som beskrives av eksperter som en «sjelden dobbel trussel», inkluderer en «slettingsmodus» som gjør datagjenoppretting umulig, selv om løsepenger betales.
Innholdsfortegnelse
Møt Anubis: En hensynsløs ransomware-som-en-tjeneste-operasjon
Løsepengevirusoperasjonen, kjent som Anubis, dukket opp i desember 2024 og har allerede krevd ofre i helsevesenet, hotell- og anleggssektoren i Australia, Canada, Peru og USA. Innledende prøver viste at skadevaren opprinnelig het Sphinx, men utviklerne omdøpte den senere til det nåværende navnet.
Det er viktig å merke seg at denne Anubis-operasjonen ikke er koblet til Android-banktrojaneren eller den Python-baserte bakdøren også kalt Anubis, sistnevnte er knyttet til den økonomisk motiverte FIN7-gruppen (også kjent som GrayAlpha).
Fleksibelt affiliateprogram med høye utbetalinger
Anubis opererer under en RaaS-modell (Ransomware-as-a-Service), og tilbyr partnere lukrative insentiver. Programmet inkluderer:
- 80-20 fordeling for tradisjonelle løsepenger (tilknyttede selskaper beholder 80 %)
- 60-40 fordeling for datautpressing
- 50-50-deling for inntektsgenerering av tilgang (salg av uautorisert tilgang til systemer)
Disse fleksible ordningene med overskuddsdeling er utformet for å tiltrekke seg et bredt spekter av trusselaktører.
Sofistikert angrepskjede: Fra phishing til filsletting
Anubis-angrep starter vanligvis med phishing-e-poster som det første inngangspunktet. Når et system er kompromittert, gjør angriperne følgende:
- Eskaler privilegier
- Gjennomfør rekognosering
- Slett skyggekopier av volum for å forhindre gjenoppretting
- Krypter filer
- Slett data eventuelt hvis det er konfigurert til å gjøre det
Denne sekvensen er utformet for å sikre maksimal skade og psykologisk press på ofrene.
WIPEMODE: Skrur opp varmen på ofrene
En fremtredende funksjon ved Anubis er /WIPEMODE-parameteren, som muliggjør permanent sletting av filinnhold. Interessant nok bevarer skadevaren filnavn og filtyper, men reduserer filstørrelsene til 0 KB, noe som gjør gjenopprettingsarbeidet nytteløst. Denne funksjonaliteten øker presset på ofrene til å betale betraktelig, noe som samsvarer med taktikker som brukes av aggressive og velorganiserte ransomware-grupper.
Konklusjon: Innsatsen har aldri vært høyere
Med sin kombinasjon av filkryptering og irreversibel datasletting setter Anubis en farlig ny presedens i ransomware-utviklingen. Dens operasjonelle sofistikasjon, inntektsgenereringsmuligheter og destruktive evner gjør det til en formidabel trussel som organisasjoner ikke har råd til å ignorere. Årvåkenhet, brukerbevissthet og robuste forsvarsstrategier er viktigere enn noensinne.
