Malvér Anubis RaaS

Novo objavený kmeň ransomvéru vyvolal v komunite kybernetickej bezpečnosti značné obavy kvôli svojej bezprecedentnej dvojitej schopnosti: šifrovaniu súborov a ich trvalému vymazaniu. Tento malvér, ktorý odborníci označujú za „vzácnu dvojitú hrozbu“, obsahuje „režim vymazania“, ktorý znemožňuje obnovu dát, a to ani v prípade zaplatenia výkupného.

Zoznámte sa s Anubisom: Bezohľadná operácia ransomvéru ako služby

Ransomvérová operácia známa ako Anubis sa objavila v decembri 2024 a už si vyžiadala obete v sektoroch zdravotníctva, pohostinstva a stavebníctva v Austrálii, Kanade, Peru a Spojených štátoch. Počiatočné vzorky odhalili, že malvér bol pôvodne označený ako Sphinx, ale vývojári ho neskôr premenovali na súčasný názov.

Dôležité je, že táto operácia Anubis nie je spojená s bankovým trójskym koňom pre Android ani s backdoorom založeným na jazyku Python, ktorý sa tiež nazýva Anubis, pričom druhý menovaný je spojený s finančne motivovanou skupinou FIN7 (známou aj ako GrayAlpha).

Flexibilný partnerský program s vysokými výplatami

Spoločnosť Anubis funguje na základe modelu Ransomware-as-a-Service (RaaS) a ponúka partnerom lukratívne stimuly. Program zahŕňa:

• V pomere 80 – 20 % pri tradičných platbách výkupného (partneri si ponechávajú 80 %)
• Rozdelenie 60-40 pre schémy vydierania údajov
• Rozdelenie 50-50 pre monetizáciu prístupu (predaj neoprávneného prístupu k systémom)

Tieto flexibilné dohody o rozdelení zisku sú navrhnuté tak, aby prilákali širokú škálu aktérov ohrozujúcich život.

Sofistikovaný reťazec útokov: od phishingu až po vymazanie súborov

Útoky typu Anubis zvyčajne začínajú phishingovými e-mailami ako prvým bodom vstupu. Po napadnutí systému útočníci:

• Zvýšiť privilégiá
• Vykonávať prieskum
• Odstráňte tieňové kópie zväzku, aby ste zabránili obnoveniu
• Šifrovanie súborov
• Voliteľne vymazať údaje, ak je to nakonfigurované

Táto sekvencia je navrhnutá tak, aby zabezpečila maximálne poškodenie a psychologický tlak na obete.

WIPEMODE: Zvyšovanie tlaku na obete

Výraznou funkciou softvéru Anubis je parameter /WIPEMODE, ktorý umožňuje trvalé vymazanie obsahu súborov. Je zaujímavé, že malvér zachováva názvy a prípony súborov, ale zmenšuje ich veľkosť na 0 KB, čím sa snahy o obnovu stávajú márnymi. Táto funkcia výrazne zvyšuje tlak na obete, aby platili, čo je v súlade s taktikami používanými agresívnymi a dobre organizovanými skupinami ransomvéru.

Záver: V stávke nikdy nebolo viac

Vďaka kombinácii šifrovania súborov a nenávratného vymazania údajov vytvára Anubis nový nebezpečný precedens v evolúcii ransomvéru. Jeho operačná sofistikovanosť, možnosti monetizácie a deštruktívne schopnosti z neho robia hrozivú hrozbu, ktorú si organizácie nemôžu dovoliť ignorovať. Bdelosť, povedomie používateľov a robustné obranné stratégie sú dôležitejšie ako kedykoľvek predtým.