Anubis Ransomware — растущая угроза, которую организации не могут игнорировать

Новая группа вымогателей Anubis производит фурор в киберпреступном мире. По данным компании по анализу угроз Kela, Anubis работает как Ransomware-as-a-Service (RaaS), предлагая своим партнерам множество вариантов монетизации, включая традиционные атаки вымогателей, вымогательство данных и продажу доступа.

Несмотря на то, что Anubis является новым игроком, за ним стоят опытные киберпреступники, что делает его серьезной и растущей угрозой для бизнеса по всему миру. Вот что организациям нужно знать об этой развивающейся киберугрозе.

Anubis Ransomware: что мы знаем на данный момент

Anubis впервые появился в конце 2024 года, и его присутствие в основном отслеживалось через активность в даркнете, а не через прямой анализ кода. Это затрудняет оценку технических возможностей вредоносного ПО, но первоначальные отчеты указывают на то, что это очень сложная операция.

Исследователи Kela связали Anubis с двумя киберпреступниками, один из которых — «superSonic» — активно вербовал сторонников через подпольные форумы, такие как RAMP.

Бизнес-модель Anubis Ransomware

Anubis — это не просто очередной вариант вируса-вымогателя, это сервис вымогательства, предлагающий своим партнерам множество вариантов атак.

1. Классические атаки программ-вымогателей
   • Использует шифрование ChaCha+ECIES.
   • Предназначен для систем Windows, Linux, NAS и ESXi x64/x32.
   • Управление осуществляется через веб-панель управления.
   • Распределение доходов: 80% партнеру, 20% Anubis.
2. Выкуп данных (вымогательство без шифрования)
   • Аффилированные лица продают украденные данные, не шифруя системы жертв.
   • Данные должны быть эксклюзивными для Anubis, украденными в течение последних шести месяцев и достаточно ценными для обнародования.

Эта многоцелевая стратегия вымогательства соответствует растущей тенденции атак с использованием программ-вымогателей, нацеленных на кражу данных, которые угрожают организациям, поскольку обеспечивают утечку конфиденциальных данных вместо их шифрования.

Первые жертвы Анубиса: здравоохранение под прицелом?

Несмотря на то, что проекту Anubis всего несколько месяцев, на его сайте утечки уже указаны три подтвержденные жертвы, а четвертая, нераскрытая цель, помечена как «Совершенно секретно» по состоянию на 25 февраля 2025 года.

Одной из первых подтверждённых целей был Pound Road Medical Centre (PRMC), австралийский поставщик медицинских услуг. PRMC сообщил об утечке данных 13 ноября 2024 года, но не упомянул о программах-вымогателях, что позволяет предположить, что в данном случае Anubis, возможно, сосредоточился на вымогательстве данных, а не на шифровании.

Тот факт, что две из трех известных жертв Anubis работают в сфере здравоохранения, вызывает беспокойство. Медицинские организации уже давно являются основными целями программ-вымогателей из-за их зависимости от данных пациентов и возросшей вероятности выплаты выкупов для защиты конфиденциальной информации.

Почему Anubis Ransomware представляет серьезную угрозу

Несмотря на то, что Anubis еще новый, он уже демонстрирует признаки серьезной угрозы кибербезопасности. Вот почему:

• Опытные операторы. Структурированная модель RaaS в сочетании с техническими заявлениями позволяет предположить, что Anubis управляется опытными киберпреступниками, возможно, бывшими членами прекративших свое существование банд, занимающихся вымогательством.
• Многоуровневое вымогательство. В отличие от традиционных программ-вымогателей, Anubis использует вымогательство данных в качестве основного источника дохода, что позволяет злоумышленникам получать прибыль без развертывания шифрования.
• Нацеливание на критически важные секторы. Если судить по ранним атакам, то основными целями могут стать здравоохранение и другие отрасли с высоким уровнем риска.

Как организации могут защитить себя

Поскольку Anubis расширяет свою деятельность, предприятиям необходимо принимать упреждающие меры кибербезопасности для защиты как от шифрования с использованием программ-вымогателей, так и от атак с целью вымогательства данных.

• Укрепляйте безопасность сети — используйте многофакторную аутентификацию (MFA) и политики доступа с нулевым доверием, чтобы снизить риски несанкционированного доступа.
• Обнаружение и предотвращение кражи данных. Внедрите инструменты предотвращения потери данных (DLP) для отслеживания и блокирования подозрительных попыток кражи.
• Регулярно создавайте резервные копии критически важных данных. Сохраняйте автономные неизменяемые резервные копии для восстановления после атак с использованием шифрования.
• Отслеживайте упоминания в Dark Web. Специалисты по кибербезопасности должны отслеживать потоки данных об угрозах на предмет упоминаний своей организации на сайтах, содержащих утечки программ-вымогателей.
• Обучение сотрудников. Обучите персонал методам фишинга, кражи учетных данных и социальной инженерии, которые обычно используются для получения первоначального доступа.
• Планирование реагирования на инциденты. Разработайте четкую стратегию реагирования на угрозы, связанные с программами-вымогателями или вымогательством данных, включая юридические и PR-меры.

Растущая киберугроза в 2025 году

Anubis может быть новым, но он уже доказывает, что представляет серьезную угрозу для бизнеса по всему миру. Его двойной подход, включающий шифрование с помощью программ-вымогателей и чистое вымогательство данных, соответствует современным тенденциям киберпреступности, а его фокус на критических секторах, таких как здравоохранение, вызывает дополнительные тревоги.

В 2025 году организациям следует сохранять бдительность, инвестировать в средства киберзащиты и готовиться к развитию вредоносного ПО-вымогателя, поскольку Anubis только начинает свою деятельность.

Готов ли ваш бизнес защититься от следующей атаки программ-вымогателей? Сейчас самое время действовать.