Anubis to kolejny ransomware działający w modelu Ransomware-as-a-Service (RaaS) służący zarówno do niszczenia jak i szyfrowania danych. Tryb niszczenia trwale usuwa zawartość plików. Twórcy zagrożenia okazują się być bardzo przedsiębiorczy bo uruchomili nawet program partnerski oferujący podziały przychodów czy dodatkowe opcje monetyzacji np. sprzedaż dostępu. Anubis działa od grudnia 2024r i od tego czasu zainfekował wiele firm w Australii, Kanadzie, Peru czy USA. Grupa skupia się na różnych branżach, w tym zdrowotnej czy budowlanej.
Patrząc z pozycji atakującego, główną zaletą oprogramowania jest czyszczenie zawartości plików co nie jest popularną funkcją a może dodatkowo wpłynąć na opłacenie przez ofiarę okupu.
Badacze Trend Micro podejrzewają, że nowy ransomware może być powiązany z grupą SPHINX, której oprogramowanie jak się okazuje ma bardzo zbliżone do Anubisa pliki binarne. Wygląda na to, że samo oprogramowanie zostało to samo, natomiast zmieniła się nazwa.
Od 2025 roku Anubis stał się aktywny na forach, gdzie używane były 2 konta – oba w języku rosyjskim. W lutym, twórcy ogłosili nowy format programów partnerskich czyli podział dochodów.
Jak działa czyszczenie plików?
Funkcja oczyszczania plików niewątpliwie wyróżnia Anubisa na tle innych zagrożeń a dodatkowo, może zwiększyć presję, podnieść stawkę okupu i wpłynąć na sam fakt zapłacenia tego okupu.
Atak jest inicjowany poprzez phishing, czyli wiadomość email, która zawiera złośliwe załączniki lub linki. Phishing jest tak skonstruowany, aby był ciężki do odróżnienia od prawdziwych wiadomości.
Oprogramowanie może być uruchamiane z różnymi parametrami
Po uruchomieniu aplikacja sprawdza (poprzez sprawdzenie dostępy do dysku) czy jest uruchomiona na koncie z uprawnieniami administratora. Jeśli tak, to próbuje zwiększyć uprawnienia do poziomu SYSTEM. Jeśli nie, to mamy możliwość uruchomienia bez tych uprawnień.
Później aplikacja wywołuje komendę vssadmin delete shadows /for=norealvolume /all /quiet w celu usunięcia wszystkich kopii na dysku, tak aby uniemożliwić przywrócenie ich z poprzednich wersji. Dodatkowo, aplikacja wgrywa swoje logo, oraz ustawia tapetę
Dodatkowo, można wykorzystać WIPE MODE tak aby usunąć zawartość plików. Poniżej widok przed i po wyczyszczeniu.
Jak zminimalizować ryzyko zainfekowania?
Biorąc pod uwagę omawiane taktyki takie jak spear-phishing, wykonywanie wiersza poleceń, eskalacja uprawnień, usuwanie VSC i czyszczenie plików, środki bezpieczeństwa, które je rozwiązują, mają kluczowe znaczenie w obronie przed Anubisem. Ponadto utrzymywanie kopii zapasowych offline i poza siedzibą firmy może pomóc złagodzić wpływ możliwości czyszczenia Anubis.
Co możesz zrobić już dzisiaj?
- Zachowaj ostrożność przy klikaniu w linki, które wydają się podejrzane
- Pamiętaj, twórz kopie zapasowe na oddzielnych nośnikach
- Stosuj zasadę minimalnych uprawnień
- Aktualizuj systemy regularnie
- Pamiętaj o szkoleniu pracowników z Cyberbezpieczeństwa
- Monitoruj aktywność na komputerach użytkowników
Pełna analiza zagrożenia na stronie TrendMicro
