Anubis RaaS Malware

Ang isang bagong natuklasang ransomware strain ay nagdulot ng mga makabuluhang alalahanin sa loob ng komunidad ng cybersecurity para sa hindi pa naganap na dalawahang kakayahan nito: pag-encrypt ng mga file at permanenteng binubura ang mga ito. Inilarawan ng mga eksperto bilang isang 'bihirang dual-threat,' ang malware na ito ay may kasamang 'wipe mode' na nagiging imposible sa pagbawi ng data, kahit na binayaran ang isang ransom.

Kilalanin ang Anubis: Isang Walang-awang Ransomware-bilang-isang-Serbisyo na Operasyon

Ang operasyon ng ransomware, na kilala bilang Anubis, ay lumabas noong Disyembre 2024 at umani na ng mga biktima sa mga sektor ng pangangalaga sa kalusugan, hospitality, at construction sa Australia, Canada, Peru, at United States. Inihayag ng mga paunang sample na ang malware ay orihinal na may tatak na Sphinx, ngunit binago ito ng mga developer sa ilalim ng kasalukuyang pangalan.

Mahalaga, ang operasyong Anubis na ito ay hindi konektado sa Android banking trojan o sa Python-based na backdoor na pinangalanang Anubis, na ang huli ay naka-link sa financially-motivated na FIN7 (aka GrayAlpha) na pangkat.

Flexible Affiliate Program na May Mataas na Payout

Gumagana ang Anubis sa ilalim ng modelong Ransomware-as-a-Service (RaaS), na nag-aalok ng mga kaakibat na kumikitang mga insentibo. Kasama sa programa ang:

• 80-20 na hati para sa mga tradisyunal na pagbabayad ng ransom (nagpapanatili ng 80%) ang mga kaakibat
• 60-40 split para sa mga scheme ng pangingikil ng data
• 50-50 na hati para sa monetization ng access (nagbebenta ng hindi awtorisadong access sa mga system)

Idinisenyo ang nababaluktot, pagbabahagi ng tubo na ito upang makaakit ng malawak na hanay ng mga aktor ng pagbabanta.

Sopistikadong Attack Chain: Mula Phishing hanggang File Wiping

Ang mga pag-atake ng Anubis ay karaniwang nagsisimula sa mga phishing na email bilang paunang punto ng pagpasok. Kapag nakompromiso ang isang system, ang mga umaatake ay:

• Palakihin ang mga pribilehiyo
• Magsagawa ng reconnaissance
• Tanggalin ang mga volume shadow copy para maiwasan ang pagbawi
• I-encrypt ang mga file
• Opsyonal na i-wipe ang data kung naka-configure na gawin ito

Ang pagkakasunud-sunod na ito ay idinisenyo upang matiyak ang pinakamataas na pinsala at sikolohikal na presyon sa mga biktima.

WIPEMODE: Pagpapainit sa mga Biktima

Ang isang natatanging tampok ng Anubis ay ang parameter na /WIPEMODE, na nagbibigay-daan sa permanenteng pagtanggal ng mga nilalaman ng file. Kapansin-pansin, pinapanatili ng malware ang mga pangalan ng file at mga extension ngunit binabawasan ang mga laki ng file sa 0 KB, na ginagawang walang saysay ang mga pagsisikap sa pagbawi. Ang functionality na ito ay lubos na nagpapataas ng pressure sa mga biktima na magbayad, na umaayon sa mga taktika na ginagamit ng mga agresibo at maayos na ransomware na grupo.

Konklusyon: Ang Mga Pusta ay Hindi Naging Mataas

Sa kumbinasyon nito ng pag-encrypt ng file at hindi maibabalik na pag-wipe ng data, nagtatakda ang Anubis ng isang mapanganib na bagong precedent sa ebolusyon ng ransomware. Ang pagiging sopistikado nito sa pagpapatakbo, mga opsyon sa monetization, at mga mapanirang kakayahan ay ginagawa itong isang mabigat na banta na hindi kayang balewalain ng mga organisasyon. Ang pagbabantay, kamalayan ng user, at matatag na diskarte sa pagtatanggol ay mas kritikal kaysa dati.