Deep Web
Ο ιός Anubis Ransomware και οι καταστροφικές του δυνατότητες
Ο ιός Anubis Ransomware κρυπτογραφεί και διαγράφει αρχεία, καθιστώντας την ανάκτηση αδύνατη ακόμα και μετά την πληρωμή των λύτρων.
Η διπλή απειλή του Anubis Ransomware
Μια νέα παραλλαγή ransomware έχει ανακαλυφθεί, η οποία συνδυάζει την ικανότητα να κρυπτογραφεί αρχεία και να τα διαγράφει οριστικά. Αυτή η εξέλιξη χαρακτηρίζεται ως μια “σπάνια διπλή απειλή”, καθώς καθιστά την ανάκτηση των δεδομένων αδύνατη, ακόμα και μετά την πληρωμή του λύτρων.
Σύμφωνα με έκθεση των ερευνητών της Trend Micro, Maristel Policarpio, Sarah Pearl Camiling και Sophia Nilette Robles, το ransomware διαθέτει μια λειτουργία “wipe mode”, που διαγράφει οριστικά τα αρχεία, καθιστώντας την ανάκτηση αδύνατη, ακόμα και αν καταβληθούν τα λύτρα.
Η προέλευση και η εξάπλωση του Anubis
Η επιχείρηση ransomware-as-a-service (RaaS) που είναι γνωστή ως Anubis, ξεκίνησε τη δραστηριότητά της τον Δεκέμβριο του 2024. Έχει ήδη πλήξει θύματα σε τομείς όπως η υγειονομική περίθαλψη, η φιλοξενία και οι κατασκευές σε χώρες όπως η Αυστραλία, ο Καναδάς, το Περού και οι Ηνωμένες Πολιτείες. Οι πρώτες δοκιμαστικές εκδόσεις του ransomware υποδεικνύουν ότι οι δημιουργοί του αρχικά το ονόμασαν Sphinx, πριν προχωρήσουν στην τελική ονομασία Anubis.
Οι διαφορές με άλλες απειλές
Αξίζει να σημειωθεί ότι η ομάδα πίσω από το Anubis δεν έχει καμία σχέση με το Android banking trojan ή το Python-based backdoor που φέρουν το ίδιο όνομα. Το τελευταίο αποδίδεται στην ομάδα FIN7, γνωστή και ως GrayAlpha, που δραστηριοποιείται με στόχο το οικονομικό κέρδος.
Το ευέλικτο πρόγραμμα συνεργατών του Anubis
Το Anubis προσφέρει ένα ευέλικτο πρόγραμμα συνεργατών, παρέχοντας διαπραγματεύσιμες μοιρασιές εσόδων και υποστηρίζοντας επιπλέον μονοπάτια κερδοφορίας, όπως η εκβίαση δεδομένων και οι πωλήσεις πρόσβασης. Το πρόγραμμα συνεργατών ακολουθεί μια μοιρασιά 80-20, επιτρέποντας στους συνεργάτες να λαμβάνουν το 80% των λύτρων που πληρώνονται. Από την άλλη πλευρά, τα σχήματα εκβίασης δεδομένων και εμπορευματοποίησης πρόσβασης προσφέρουν μοιρασιές 60-40 και 50-50, αντίστοιχα.
Η μέθοδος επίθεσης του Anubis
Οι επιθέσεις του Anubis ξεκινούν με τη χρήση phishing emails ως αρχικό μέσο πρόσβασης. Οι κακόβουλοι χρήστες εκμεταλλεύονται το αρχικό πάτημα για να αυξήσουν τα δικαιώματά τους, να πραγματοποιήσουν αναγνώριση και να διαγράψουν σκιώδη αντίγραφα όγκου, πριν προχωρήσουν στην κρυπτογράφηση των αρχείων και, εάν χρειαστεί, στη διαγραφή του περιεχομένου τους.
Αυτό σημαίνει ότι τα μεγέθη των αρχείων μειώνονται σε 0 KB, ενώ τα ονόματα ή οι επεκτάσεις των αρχείων παραμένουν ανέπαφα, καθιστώντας την ανάκτηση αδύνατη και αυξάνοντας την πίεση στα θύματα για να πληρώσουν.
Η καταστροφική φύση του Anubis
Η δυνατότητα του Anubis να κρυπτογραφεί και να καταστρέφει οριστικά δεδομένα αυξάνει σημαντικά το διακύβευμα για τα θύματα, ενισχύοντας την πίεση για συμμόρφωση, όπως ακριβώς στοχεύουν οι ισχυρές επιχειρήσεις ransomware.
Η σχέση με την ομάδα FIN7
Η ανακάλυψη της καταστροφικής συμπεριφοράς του Anubis έρχεται καθώς η Recorded Future ανέλυσε νέα υποδομή που σχετίζεται με την ομάδα FIN7. Αυτή η υποδομή χρησιμοποιείται για να μιμείται νόμιμα προϊόντα και υπηρεσίες λογισμικού, στο πλαίσιο μιας καμπάνιας που αποσκοπεί στην παράδοση του NetSupport RAT.
Οι μέθοδοι διανομής του κακόβουλου λογισμικού
Η εταιρεία πληροφοριών απειλών, που ανήκει στη Mastercard, ανέφερε ότι εντόπισε τρεις μοναδικούς τρόπους διανομής τον τελευταίο χρόνο. Αυτοί περιλαμβάνουν ψεύτικες σελίδες ενημέρωσης browser, ψεύτικες τοποθεσίες λήψης του 7-Zip και το TAG-124 για την παράδοση του κακόβουλου λογισμικού.
Ενώ η μέθοδος ψεύτικης ενημέρωσης browser φορτώνει έναν προσαρμοσμένο loader με την ονομασία MaskBat για την εκτέλεση του remote access trojan, οι υπόλοιποι δύο τρόποι μόλυνσης χρησιμοποιούν έναν άλλο προσαρμοσμένο PowerShell loader με την ονομασία PowerNet που αποσυμπιέζει και εκτελεί το κακόβουλο λογισμικό.
Η ομάδα Insikt της Recorded Future ανέφερε ότι το MaskBat έχει ομοιότητες με το FakeBat, αλλά είναι κρυπτογραφημένο και περιέχει συμβολοσειρές που συνδέονται με την GrayAlpha. Αν και παρατηρήθηκε ότι και οι τρεις τρόποι μόλυνσης χρησιμοποιούνται ταυτόχρονα, μόνο οι ψεύτικες σελίδες λήψης του 7-Zip ήταν ακόμα ενεργές κατά τη στιγμή της συγγραφής, με νέα καταχωρημένα domains να εμφανίζονται πρόσφατα έως τον Απρίλιο του 2025.
