มัลแวร์ Anubis RaaS

สายพันธุ์แรนซัมแวร์ที่เพิ่งค้นพบใหม่ได้ก่อให้เกิดความกังวลอย่างมากในชุมชนความปลอดภัยทางไซเบอร์เนื่องจากความสามารถสองประการที่ไม่เคยมีมาก่อน ได้แก่ การเข้ารหัสไฟล์และการลบไฟล์อย่างถาวร ผู้เชี่ยวชาญอธิบายว่าเป็น "ภัยคุกคามสองประการที่พบได้ยาก" มัลแวร์นี้มี "โหมดล้างข้อมูล" ที่ทำให้ไม่สามารถกู้คืนข้อมูลได้ แม้จะจ่ายค่าไถ่แล้วก็ตาม

พบกับ Anubis: ปฏิบัติการ Ransomware-as-a-Service ที่ไร้ความปราณี

ปฏิบัติการแรนซัมแวร์ที่รู้จักกันในชื่อ Anubis เกิดขึ้นเมื่อเดือนธันวาคม 2024 และได้คร่าชีวิตเหยื่อไปแล้วจากภาคส่วนการดูแลสุขภาพ การบริการ และการก่อสร้างในออสเตรเลีย แคนาดา เปรู และสหรัฐอเมริกา ตัวอย่างเบื้องต้นเผยให้เห็นว่าเดิมทีมัลแวร์นี้มีชื่อว่า Sphinx แต่ในภายหลังนักพัฒนาได้เปลี่ยนชื่อเป็นชื่อปัจจุบัน

สิ่งสำคัญคือปฏิบัติการของ Anubis นี้ไม่ได้เชื่อมโยงกับโทรจันธนาคาร Android หรือแบ็คดอร์ที่ใช้ Python ซึ่งมีชื่อว่า Anubis เช่นกัน โดยตัวหลังเชื่อมโยงกับกลุ่ม FIN7 (หรือที่เรียกว่า GrayAlpha) ที่มีแรงจูงใจทางการเงิน

โปรแกรมพันธมิตรที่ยืดหยุ่นพร้อมการจ่ายเงินสูง

Anubis ดำเนินงานภายใต้รูปแบบ Ransomware-as-a-Service (RaaS) โดยเสนอแรงจูงใจที่คุ้มค่าแก่ผู้ร่วมธุรกิจ โปรแกรมนี้ประกอบด้วย:

• แบ่ง 80-20 สำหรับค่าไถ่แบบดั้งเดิม (บริษัทในเครือเก็บ 80%)
• แบ่ง 60-40 สำหรับแผนการรีดไถข้อมูล
• แบ่ง 50-50 สำหรับการเข้าถึงรายได้จากการเข้าถึง (ขายการเข้าถึงระบบที่ไม่ได้รับอนุญาต)

ข้อตกลงแบ่งปันผลกำไรที่ยืดหยุ่นเหล่านี้ได้รับการออกแบบมาเพื่อดึงดูดผู้ที่ก่อให้เกิดภัยคุกคามในหลากหลายกลุ่ม

ห่วงโซ่การโจมตีที่ซับซ้อน: จากการฟิชชิ่งไปจนถึงการล้างไฟล์

โดยทั่วไปการโจมตีของ Anubis จะเริ่มด้วยอีเมลฟิชชิ่งเป็นจุดเริ่มต้น เมื่อระบบถูกบุกรุก ผู้โจมตีจะ:

• สิทธิ์ในการเลื่อนระดับ
• ดำเนินการลาดตระเวน
• ลบสำเนาเงาของโวลุ่มเพื่อป้องกันการกู้คืน
• เข้ารหัสไฟล์
• สามารถเลือกล้างข้อมูลได้หากกำหนดค่าให้ทำเช่นนั้น

ลำดับนี้ได้รับการออกแบบมาเพื่อให้แน่ใจว่าเหยื่อได้รับความเสียหายสูงสุดและมีความกดดันทางจิตใจสูงสุด

WIPEMODE: เพิ่มความร้อนให้กับเหยื่อ

คุณสมบัติที่โดดเด่นของ Anubis คือพารามิเตอร์ /WIPEMODE ซึ่งช่วยให้สามารถลบเนื้อหาไฟล์ได้อย่างถาวร ที่น่าสนใจคือมัลแวร์จะเก็บรักษาชื่อและนามสกุลไฟล์ไว้ แต่ลดขนาดไฟล์ลงเหลือ 0 KB ทำให้การกู้คืนข้อมูลนั้นไร้ผล ฟังก์ชันนี้เพิ่มแรงกดดันให้เหยื่อต้องจ่ายเงินอย่างมาก ซึ่งสอดคล้องกับกลวิธีที่กลุ่มแรนซัมแวร์ที่ก้าวร้าวและมีการจัดระเบียบอย่างดีใช้

บทสรุป: เดิมพันไม่เคยสูงเท่านี้มาก่อน

Anubis ได้สร้างบรรทัดฐานใหม่ที่เป็นอันตรายในการพัฒนาแรนซัมแวร์ด้วยการผสมผสานระหว่างการเข้ารหัสไฟล์และการล้างข้อมูลแบบย้อนกลับ ความซับซ้อนในการดำเนินการ ตัวเลือกในการสร้างรายได้ และความสามารถในการทำลายล้างทำให้แรนซัมแวร์เป็นภัยคุกคามที่น่ากลัวที่องค์กรต่างๆ ไม่สามารถเพิกเฉยได้ การเฝ้าระวัง การรับรู้ของผู้ใช้ และกลยุทธ์การป้องกันที่แข็งแกร่งมีความสำคัญมากกว่าที่เคย