Anubis Ransomware là mối đe dọa đang gia tăng mà các tổ chức không thể bỏ qua

Một nhóm ransomware mới nổi, Anubis , đang tạo nên làn sóng trong thế giới ngầm tội phạm mạng. Theo công ty tình báo về mối đe dọa Kela, Anubis hoạt động như một Ransomware-as-a-Service (RaaS), cung cấp cho các chi nhánh nhiều tùy chọn kiếm tiền, bao gồm các cuộc tấn công ransomware truyền thống, tống tiền dữ liệu và bán quyền truy cập.

Mặc dù là một đối thủ mới, Anubis cho thấy dấu hiệu của những tên tội phạm mạng lão luyện đứng sau, khiến nó trở thành mối đe dọa nghiêm trọng và ngày càng gia tăng đối với các doanh nghiệp trên toàn thế giới. Sau đây là những điều các tổ chức cần biết về mối đe dọa mạng đang phát triển này.

Anubis Ransomware: Những gì chúng ta biết cho đến nay

Anubis lần đầu tiên xuất hiện vào cuối năm 2024 và sự hiện diện của nó chủ yếu được theo dõi thông qua hoạt động dark web thay vì phân tích mã trực tiếp. Điều này khiến việc đánh giá khả năng kỹ thuật của phần mềm độc hại trở nên khó khăn hơn, nhưng các báo cáo ban đầu cho thấy đây là một hoạt động cực kỳ tinh vi.

Các nhà nghiên cứu Kela đã liên kết Anubis với hai tên tội phạm mạng, một trong số đó—'superSonic'—đã tích cực tuyển dụng thành viên thông qua các diễn đàn ngầm như RAMP.

Mô hình kinh doanh của Anubis Ransomware

Anubis không chỉ là một biến thể ransomware khác mà còn là một dịch vụ tống tiền cung cấp nhiều tùy chọn tấn công cho các chi nhánh của nó.

1. Các cuộc tấn công Ransomware cổ điển
   • Sử dụng mã hóa ChaCha+ECIES.
   • Hướng tới các hệ thống Windows, Linux, NAS và ESXi x64/x32.
   • Được quản lý thông qua bảng điều khiển dựa trên web.
   • Chia doanh thu: 80% cho đơn vị liên kết, 20% cho Anubis.
2. Tiền chuộc dữ liệu (Tống tiền không mã hóa)
   • Các chi nhánh bán dữ liệu bị đánh cắp mà không mã hóa hệ thống của nạn nhân.
   • Dữ liệu phải độc quyền của Anubis, được đánh cắp trong vòng sáu tháng qua và đủ giá trị để công khai.

Chiến lược tống tiền đa hướng này phù hợp với xu hướng ngày càng gia tăng của các cuộc tấn công bằng phần mềm tống tiền tập trung vào đánh cắp dữ liệu, đe dọa các tổ chức bằng cách làm rò rỉ dữ liệu nhạy cảm thay vì mã hóa dữ liệu đó.

Những nạn nhân đầu tiên của Anubis: Chăm sóc sức khỏe đang trong tầm ngắm?

Mặc dù chỉ mới ra mắt được vài tháng, Anubis đã liệt kê ba nạn nhân được xác nhận trên trang web rò rỉ của mình, với mục tiêu thứ tư chưa được tiết lộ, được đánh dấu là "Tuyệt mật" tính đến ngày 25 tháng 2 năm 2025.

Một trong những mục tiêu được xác nhận sớm nhất là Pound Road Medical Centre (PRMC), một nhà cung cấp dịch vụ chăm sóc sức khỏe của Úc. PRMC đã báo cáo về một vụ vi phạm dữ liệu vào ngày 13 tháng 11 năm 2024, nhưng không đề cập đến phần mềm tống tiền—cho thấy Anubis có thể đã tập trung vào việc tống tiền dữ liệu hơn là mã hóa trong trường hợp này.

Thực tế là hai trong ba nạn nhân được biết đến của Anubis làm việc trong lĩnh vực chăm sóc sức khỏe là điều đáng lo ngại. Các tổ chức y tế từ lâu đã là mục tiêu chính của ransomware do họ phụ thuộc vào dữ liệu bệnh nhân và khả năng trả tiền chuộc để bảo vệ thông tin nhạy cảm ngày càng cao.

Tại sao Anubis Ransomware là một mối đe dọa nghiêm trọng

Mặc dù vẫn còn mới, Anubis đã cho thấy những dấu hiệu là mối đe dọa an ninh mạng lớn. Sau đây là lý do:

• Người điều hành có kinh nghiệm – Mô hình RaaS có cấu trúc, kết hợp với các tuyên bố kỹ thuật, cho thấy Anubis được điều hành bởi những tên tội phạm mạng dày dạn kinh nghiệm, có thể là cựu thành viên của các băng nhóm ransomware đã ngừng hoạt động.
• Tống tiền nhiều lớp – Không giống như phần mềm tống tiền truyền thống, Anubis đang thúc đẩy tống tiền dữ liệu như một nguồn doanh thu chính, cho phép kẻ tấn công kiếm lợi mà không cần triển khai mã hóa.
• Nhắm mục tiêu vào các ngành quan trọng – Nếu các cuộc tấn công sớm là dấu hiệu, thì chăm sóc sức khỏe và các ngành công nghiệp có nguy cơ cao khác có thể là mục tiêu chính.

Các tổ chức có thể tự bảo vệ mình như thế nào

Khi Anubis tăng cường hoạt động, các doanh nghiệp phải thực hiện các biện pháp an ninh mạng chủ động để chống lại cả mã hóa ransomware và các cuộc tấn công tống tiền dữ liệu.

• Tăng cường bảo mật mạng – Sử dụng xác thực đa yếu tố (MFA) và chính sách truy cập không tin cậy để giảm rủi ro truy cập trái phép.
• Phát hiện và ngăn chặn trộm cắp dữ liệu – Triển khai các công cụ ngăn ngừa mất dữ liệu (DLP) để giám sát và ngăn chặn các nỗ lực đánh cắp dữ liệu đáng ngờ.
• Sao lưu dữ liệu quan trọng thường xuyên – Duy trì các bản sao lưu ngoại tuyến, không thể thay đổi để phục hồi sau các cuộc tấn công dựa trên mã hóa.
• Theo dõi các đề cập trên Dark Web – Các nhóm an ninh mạng nên theo dõi nguồn cấp dữ liệu tình báo về mối đe dọa để tìm các đề cập đến tổ chức của họ trên các trang web rò rỉ phần mềm tống tiền.
• Đào tạo nhân viên – Đào tạo nhân viên về các chiến thuật lừa đảo, đánh cắp thông tin đăng nhập và kỹ thuật xã hội thường được sử dụng để giành quyền truy cập ban đầu.
• Lập kế hoạch ứng phó sự cố – Có chiến lược rõ ràng để xử lý các mối đe dọa tống tiền dữ liệu hoặc phần mềm tống tiền, bao gồm các phản ứng pháp lý và quan hệ công chúng.

Mối đe dọa mạng ngày càng gia tăng vào năm 2025

Anubis có thể là mới, nhưng nó đã chứng minh là một rủi ro nghiêm trọng đối với các doanh nghiệp trên toàn thế giới. Cách tiếp cận kép của nó là mã hóa ransomware và tống tiền dữ liệu thuần túy phù hợp với xu hướng tội phạm mạng hiện đại và việc tập trung vào các lĩnh vực quan trọng như chăm sóc sức khỏe làm dấy lên thêm báo động.

Khi năm 2025 mở ra, các tổ chức phải luôn cảnh giác, đầu tư vào biện pháp phòng thủ an ninh mạng và chuẩn bị cho bối cảnh phần mềm tống tiền đang thay đổi—vì Anubis chỉ mới bắt đầu.

Doanh nghiệp của bạn đã sẵn sàng phòng thủ trước cuộc tấn công ransomware tiếp theo chưa? Bây giờ là lúc hành động.