Zlonamerna programska oprema Anubis RaaS
Novo odkrita izsiljevalska programska oprema je v skupnosti za kibernetsko varnost vzbudila veliko zaskrbljenosti zaradi svoje izjemne dvojne zmogljivosti: šifriranja datotek in njihovega trajnega brisanja. Strokovnjaki so to zlonamerno programsko opremo opisali kot »redko dvojno grožnjo« in vključuje »način brisanja«, ki onemogoča obnovitev podatkov, tudi če je plačana odkupnina.
Kazalo
Spoznajte Anubisa: neusmiljena operacija izsiljevalske programske opreme kot storitve
Izsiljevalska programska oprema, znana kot Anubis, se je pojavila decembra 2024 in je že terjala žrtve v zdravstvu, gostinstvu in gradbeništvu v Avstraliji, Kanadi, Peruju in Združenih državah Amerike. Prvi vzorci so pokazali, da je bila zlonamerna programska oprema prvotno označena kot Sphinx, vendar so jo razvijalci kasneje preimenovali pod sedanjim imenom.
Pomembno je, da ta operacija Anubis ni povezana s trojanskim konjem za Android ali s stranskimi vrati, ki temeljijo na Pythonu in so prav tako imenovani Anubis, saj je slednje povezano s finančno motivirano skupino FIN7 (znano tudi kot GrayAlpha).
Prilagodljiv partnerski program z visokimi izplačili
Anubis deluje po modelu izsiljevalske programske opreme kot storitve (RaaS) in svojim partnerjem ponuja donosne spodbude. Program vključuje:
- Tradicionalna plačila odkupnine so razdeljena v razmerju 80-20 (podružnice obdržijo 80 %)
- Razmerje 60-40 za sheme izsiljevanja podatkov
- Monetizacija dostopa (prodaja nepooblaščenega dostopa do sistemov) v razmerju 50-50
Te fleksibilne ureditve delitve dobička so zasnovane tako, da privabijo širok spekter akterjev grožnje.
Sofisticirana veriga napadov: od lažnega predstavljanja do brisanja datotek
Napadi Anubis se običajno začnejo z lažnimi e-poštnimi sporočili kot začetno točko vstopa. Ko je sistem ogrožen, napadalci:
- Povečaj privilegije
- Izvedite izvidnico
- Izbrišite senčne kopije nosilca podatkov, da preprečite obnovitev
- Šifriraj datoteke
- Po želji izbrišite podatke, če je to konfigurirano za to
To zaporedje je zasnovano tako, da zagotavlja maksimalno škodo in psihološki pritisk na žrtve.
WIPEMODE: Stopnjevanje pritiska na žrtve
Izstopajoča značilnost Anubisa je parameter /WIPEMODE, ki omogoča trajno brisanje vsebine datotek. Zanimivo je, da zlonamerna programska oprema ohrani imena in končnice datotek, vendar zmanjša velikost datotek na 0 KB, zaradi česar so prizadevanja za obnovitev zaman. Ta funkcionalnost močno poveča pritisk na žrtve, da plačajo, kar je v skladu s taktikami, ki jih uporabljajo agresivne in dobro organizirane skupine izsiljevalske programske opreme.
Zaključek: Vložek še nikoli ni bil višji
S kombinacijo šifriranja datotek in nepovratnega brisanja podatkov Anubis postavlja nevaren nov precedens v razvoju izsiljevalske programske opreme. Zaradi svoje operativne dovršenosti, možnosti monetizacije in uničujočih zmogljivosti je to velika grožnja, ki si je organizacije ne morejo privoščiti prezreti. Budnost, ozaveščenost uporabnikov in robustne obrambne strategije so pomembnejše kot kdaj koli prej.
