Anubis Ransomware is een groeiende bedreiging die organisaties niet kunnen negeren
Een nieuw opkomende ransomware-groep, Anubis , maakt golven in de cybercriminele onderwereld. Volgens het threat intelligence-bedrijf Kela, opereert Anubis als een Ransomware-as-a-Service (RaaS), die affiliates meerdere monetisatie-opties biedt, waaronder traditionele ransomware-aanvallen, data-afpersing en toegangsverkoop.
Ondanks dat het een nieuwe speler is, vertoont Anubis tekenen van ervaren cybercriminelen achter zich, waardoor het een serieuze en groeiende bedreiging is voor bedrijven wereldwijd. Dit is wat organisaties moeten weten over deze zich ontwikkelende cyberdreiging.
Inhoudsopgave
Anubis Ransomware: Wat We Tot Nu Toe Weten
Anubis verscheen voor het eerst eind 2024 en de aanwezigheid ervan is voornamelijk gevolgd via dark web-activiteit in plaats van directe code-analyse. Dit maakt het moeilijker om de technische mogelijkheden van de malware te beoordelen, maar eerste rapporten suggereren dat het een zeer geavanceerde operatie is.
Kela-onderzoekers hebben Anubis in verband gebracht met twee cybercriminelen, waarvan er één, 'superSonic', actief bezig is met het rekruteren van partners via ondergrondse forums zoals RAMP.
Bedrijfsmodel van Anubis Ransomware
Anubis is niet zomaar een ransomwarevariant. Het is een afpersingsdienst die zijn partners meerdere aanvalsopties biedt.
- Klassieke ransomware-aanvallen
- Maakt gebruik van ChaCha+ECIES-codering.
- Geschikt voor Windows-, Linux-, NAS- en ESXi x64/x32-systemen.
- Beheerd via een webgebaseerd controlepaneel.
- Verdeling van de inkomsten: 80% naar de affiliate, 20% naar Anubis.
- Datalosgeld (afpersing zonder encryptie)
- Affiliates verkopen gestolen gegevens zonder de systemen van de slachtoffers te versleutelen.
- De gegevens moeten exclusief voor Anubis zijn, niet ouder zijn dan zes maanden en waardevol genoeg zijn om openbaar te worden gemaakt.
- Affiliates verkopen netwerktoegang aan potentiële slachtoffers.
- De toegang moet bestemd zijn voor bedrijven in de VS, Europa, Canada of Australië.
- Het slachtoffer mag in het afgelopen jaar niet door andere ransomware-groepen zijn aangevallen.
- Verdeling van de inkomsten: 50% voor de affiliate, 50% voor Anubis.
Deze veelzijdige afpersingsstrategie sluit aan bij de groeiende trend van ransomware-aanvallen die gericht zijn op gegevensdiefstal. Deze aanvallen vormen een bedreiging voor organisaties doordat gevoelige gegevens worden gelekt in plaats van versleuteld.
De eerste slachtoffers van Anubis: staat de gezondheidszorg op het spel?
Ondanks dat Anubis pas een paar maanden oud is, heeft het al drie bevestigde slachtoffers op zijn leksite vermeld, met een vierde, onbekend doelwit, gemarkeerd als "Top Secret" vanaf 25 februari 2025.
Een van de eerste bevestigde doelen was Pound Road Medical Centre (PRMC), een Australische zorgaanbieder. PRMC meldde op 13 november 2024 een datalek, maar maakte geen melding van ransomware. Dit suggereert dat Anubis zich in dit geval mogelijk heeft gericht op data-afpersing in plaats van encryptie.
Het feit dat twee van de drie bekende slachtoffers van Anubis in de gezondheidszorg werken, is zorgwekkend. Medische organisaties zijn al lang de belangrijkste doelwitten van ransomware vanwege hun afhankelijkheid van patiëntgegevens en hun toegenomen kans om losgeld te betalen om gevoelige informatie te beschermen.
Waarom Anubis Ransomware een serieuze bedreiging is
Hoewel het nog nieuw is, vertoont Anubis al tekenen van een grote cybersecurity-dreiging. Dit is waarom:
- Ervaren operators – Het gestructureerde RaaS-model, gecombineerd met technische beweringen, suggereert dat Anubis wordt gerund door doorgewinterde cybercriminelen, mogelijk voormalige leden van ter ziele gegane ransomware-bendes.
- Meerlaagse afpersing – In tegenstelling tot traditionele ransomware promoot Anubis data-afpersing als primaire inkomstenbron, waardoor aanvallers winst kunnen maken zonder encryptie te gebruiken.
- Kritieke sectoren als doelwit – Als we afgaan op de eerste aanvallen, dan kunnen de gezondheidszorg en andere sectoren met een hoog risico belangrijke doelwitten zijn.
Hoe organisaties zichzelf kunnen beschermen
Nu Anubis haar activiteiten uitbreidt, moeten bedrijven proactieve cyberbeveiligingsmaatregelen nemen om zich te verdedigen tegen zowel ransomware-encryptie als aanvallen met gegevensafpersing.
- Versterk de netwerkbeveiliging – Gebruik multi-factor authenticatie (MFA) en zero-trust toegangsbeleid om de risico's van ongeautoriseerde toegang te verminderen.
- Detecteer en voorkom gegevensdiefstal – Implementeer hulpmiddelen voor het voorkomen van gegevensverlies (DLP) om verdachte exfiltratiepogingen te bewaken en blokkeren.
- Maak regelmatig een back-up van kritieke gegevens – Maak offline, onveranderlijke back-ups om te herstellen van op encryptie gebaseerde aanvallen.
- Controleer op vermeldingen op het dark web – Cybersecurityteams moeten feeds met informatie over bedreigingen bijhouden op vermeldingen van hun organisatie op sites met ransomwarelekken.
- Training voor medewerkers – Geef medewerkers voorlichting over phishing, diefstal van inloggegevens en social engineering-tactieken die vaak worden gebruikt om toegang te krijgen.
- Planning voor respons op incidenten – Zorg voor een duidelijke strategie voor het omgaan met ransomware of bedreigingen van gegevensafpersing, inclusief juridische en PR-reacties.
Een groeiende cyberdreiging in 2025
Anubis is misschien nieuw, maar het blijkt nu al een serieus risico te vormen voor bedrijven wereldwijd. De dubbele aanpak van ransomware-encryptie en pure data-afpersing past bij moderne cybercriminele trends, en de focus op kritieke sectoren zoals gezondheidszorg roept extra alarmbellen op.
Nu 2025 aanbreekt, moeten organisaties waakzaam blijven, investeren in cyberbeveiliging en zich voorbereiden op een veranderend ransomware-landschap. Anubis is namelijk nog maar net begonnen.
Is uw bedrijf klaar om zich te verdedigen tegen de volgende ransomware-aanval? Nu is het moment om actie te ondernemen.