Вредоносное ПО Anubis RaaS

Недавно обнаруженный штамм вируса-вымогателя вызвал серьезные опасения в сообществе кибербезопасности из-за его беспрецедентной двойной возможности: шифрование файлов и их постоянное стирание. Описанный экспертами как «редкая двойная угроза», этот вредоносный код включает «режим стирания», который делает восстановление данных невозможным, даже если заплачен выкуп.

Знакомьтесь с Anubis: беспощадная операция по вымогательству как услуге

Операция по вымогательству, известная как Anubis, началась в декабре 2024 года и уже унесла жизни многих людей в секторах здравоохранения, гостеприимства и строительства в Австралии, Канаде, Перу и США. Первоначальные образцы показали, что вредоносное ПО изначально называлось Sphinx, но позже разработчики переименовали его под текущее название.

Важно отметить, что эта операция Anubis не связана с банковским трояном Android или бэкдором на основе Python, также называемым Anubis, последний связан с финансово мотивированной группой FIN7 (также известной как GrayAlpha).

Гибкая партнерская программа с высокими выплатами

Anubis работает по модели Ransomware-as-a-Service (RaaS), предлагая партнерам выгодные поощрения. Программа включает:

• Разделение 80/20 для традиционных выплат выкупа (партнеры оставляют себе 80%)
• Разделение 60/40 за схемы вымогательства данных
• Разделение 50/50 на монетизацию доступа (продажу несанкционированного доступа к системам)

Эти гибкие соглашения о распределении прибыли призваны привлечь широкий круг субъектов угроз.

Сложная цепочка атак: от фишинга до уничтожения файлов

Атаки Anubis обычно начинаются с фишинговых писем в качестве начальной точки входа. После того, как система скомпрометирована, злоумышленники:

• Повысить привилегии
• Проведение разведки
• Удалите теневые копии тома, чтобы предотвратить восстановление
• Шифровать файлы
• При желании можно стереть данные, если это настроено

Такая последовательность действий призвана обеспечить максимальный ущерб и психологическое давление на жертв.

WIPEMODE: Усиление давления на жертв

Отличительной особенностью Anubis является параметр /WIPEMODE, который позволяет навсегда удалить содержимое файла. Интересно, что вредоносная программа сохраняет имена и расширения файлов, но уменьшает размер файлов до 0 КБ, что делает попытки восстановления бесполезными. Эта функция значительно увеличивает давление на жертв, требуя от них заплатить, что соответствует тактике, используемой агрессивными и хорошо организованными группами вымогателей.

Заключение: ставки никогда не были выше

Благодаря сочетанию шифрования файлов и необратимого стирания данных Anubis создает новый опасный прецедент в эволюции программ-вымогателей. Его операционная сложность, варианты монетизации и разрушительные возможности делают его грозной угрозой, которую организации не могут позволить себе игнорировать. Бдительность, осведомленность пользователей и надежные стратегии защиты сейчас важнее, чем когда-либо.