Phần mềm độc hại Anubis RaaS

Một chủng ransomware mới được phát hiện đã gây ra mối lo ngại đáng kể trong cộng đồng an ninh mạng vì khả năng kép chưa từng có của nó: mã hóa các tệp và xóa vĩnh viễn chúng. Được các chuyên gia mô tả là một 'mối đe dọa kép hiếm gặp', phần mềm độc hại này bao gồm 'chế độ xóa' khiến dữ liệu không thể khôi phục, ngay cả khi đã trả tiền chuộc.

Gặp gỡ Anubis: Một chiến dịch Ransomware-as-a-Service tàn nhẫn

Hoạt động ransomware, được gọi là Anubis, xuất hiện vào tháng 12 năm 2024 và đã tấn công các nạn nhân trong các lĩnh vực chăm sóc sức khỏe, khách sạn và xây dựng tại Úc, Canada, Peru và Hoa Kỳ. Các mẫu ban đầu cho thấy phần mềm độc hại ban đầu được đặt tên là Sphinx, nhưng sau đó các nhà phát triển đã đổi tên thành tên hiện tại.

Điều quan trọng là hoạt động Anubis này không liên quan đến trojan ngân hàng Android hay backdoor dựa trên Python cũng có tên là Anubis, backdoor sau này có liên quan đến nhóm FIN7 (hay còn gọi là GrayAlpha) có động cơ tài chính.

Chương trình liên kết linh hoạt với mức thanh toán cao

Anubis hoạt động theo mô hình Ransomware-as-a-Service (RaaS), cung cấp cho các chi nhánh những ưu đãi hấp dẫn. Chương trình bao gồm:

• Chia 80-20 cho các khoản thanh toán tiền chuộc theo cách truyền thống (các bên liên kết giữ lại 80%)
• Chia đôi 60-40 cho các chương trình tống tiền dữ liệu
• Chia đôi 50-50 để kiếm tiền từ quyền truy cập (bán quyền truy cập trái phép vào hệ thống)

Những thỏa thuận chia sẻ lợi nhuận linh hoạt này được thiết kế để thu hút nhiều đối tượng đe dọa khác nhau.

Chuỗi tấn công tinh vi: Từ lừa đảo đến xóa tệp

Các cuộc tấn công của Anubis thường bắt đầu bằng email lừa đảo như là điểm vào ban đầu. Khi hệ thống bị xâm phạm, kẻ tấn công:

• Tăng cường đặc quyền
• Tiến hành trinh sát
• Xóa các bản sao bóng khối lượng để ngăn chặn việc phục hồi
• Mã hóa tập tin
• Tùy chọn xóa dữ liệu nếu được cấu hình để thực hiện như vậy

Chuỗi hành động này được thiết kế nhằm gây ra thiệt hại và áp lực tâm lý tối đa cho nạn nhân.

WIPEMODE: Tăng nhiệt độ lên các nạn nhân

Một tính năng nổi bật của Anubis là tham số /WIPEMODE, cho phép xóa vĩnh viễn nội dung tệp. Điều thú vị là phần mềm độc hại này giữ nguyên tên tệp và phần mở rộng nhưng giảm kích thước tệp xuống 0 KB, khiến nỗ lực khôi phục trở nên vô ích. Chức năng này làm tăng đáng kể áp lực buộc nạn nhân phải trả tiền, phù hợp với các chiến thuật được sử dụng bởi các nhóm ransomware hung hăng và có tổ chức tốt.

Kết luận: Mức độ nguy hiểm chưa bao giờ cao hơn thế

Với sự kết hợp giữa mã hóa tệp và xóa dữ liệu không thể đảo ngược, Anubis tạo ra một tiền lệ mới nguy hiểm trong quá trình tiến hóa của ransomware. Sự tinh vi trong hoạt động, các tùy chọn kiếm tiền và khả năng phá hoại của nó khiến nó trở thành mối đe dọa đáng gờm mà các tổ chức không thể bỏ qua. Sự cảnh giác, nhận thức của người dùng và các chiến lược phòng thủ mạnh mẽ trở nên quan trọng hơn bao giờ hết.