Nova operacija ransomware-as-a-service pojavila se u svijetu cyber prijetnji, uvodeći razorne mogućnosti koje je razlikuju od konvencionalnih porodica ransomware-a.
Anubis ransomware kombinuje tradicionalno šifrovanje datoteka sa destruktivnom funkcijom “wipe mode” koja trajno briše sadržaj datoteke, čineći oporavak nemogućim čak i ako žrtve plate otkupninu.
Ovaj pristup dvostruke prijetnje predstavlja značajnu eskalaciju taktika ransomware-a, prelazeći granice jednostavnog šifrovanje i dovodeći do potpunog uništavanja podataka.
Grupa Anubis je zvanično pokrenula svoje poslovanje početkom 2025. godine, nadograđujući se na raniji razvojni rad koji datira još iz decembra 2024. godine, kada se grupa prvi put pojavila na platformama društvenih medija.
Ransomware se razvio iz ranije varijante pod nazivom Sphinx, koja je, čini se, bila u razvojnoj fazi, nedostajale su joj bitne komponente poput TOR stranice i jedinstvenih identifikatora žrtve u zahtjevima za otkupninu.
.webp)
Kada su istraživači uporedili binarne datoteke Anubisa i Sphinxa, otkrili su da su vrlo identične, sa samo manjim razlikama u funkciji generisanja otkupnine, što ukazuje na rebrendiranje glavnog malicioznog softvera.
Analitičari Trend Microa identifikovali su ovu novu prijetnju i dokumentovali njenu sofisticiranu metodologiju napada, koja počinje kampanjama spear phishinga usmjerenim na organizacije u više sektora.
Grupa je demonstrirala oportunistički pristup, tvrdeći da su žrtve u zdravstvu, inženjerstvu i građevinskoj industriji širom Australije, Kanade, Perua i Sjedinjenih Američkih Država.
Predstavnici operacije Anubis su viđeni na forumima za sajber kriminal RAMP i XSS, koristeći nadimke “supersonic” i “Anubis__media”, respektivno, reklamirajući fleksibilne partnerske programe sa pregovaračkim strukturama podjele prihoda.
Ransomware koristi više vektora napada, pri čemu se početni pristup obično ostvaruje putem pažljivo kreiranih phishing e-poruka koje sadrže zlonamjerne priloge ili linkove dizajnirane da se pojavljuju iz pouzdanih izvora.
Nakon što se izvrši, Anubis zahtijeva specifične parametre komandne linije da bi ispravno funkcionirao, uključujući /KEY=autentifikaciju, /elevatedeskalaciju privilegija, /WIPEMODEdestruktivne operacije, /PFAD=izuzeća direktorija i /PATH=ciljanje određenih puteva šifriranja.
Maliciozni softver demonstrira sofisticirane mogućnosti eskalacije privilegija, provjeravajući administratorska prava pokušavajući pristupiti primarnom fizičkom disku sistema i prikazujući interaktivne upite kada se otkriju povišena dopuštenja.
Funkcionalnost destruktivnog brisanja
Ono što razlikuje Anubis od ostalih porodica ransomware-a je njegova mogućnost razornog brisanja podataka, koja se aktivira putem /WIPEMODEparametra tokom izvršavanja.
Ova funkcija ide dalje od tradicionalnog šifrovanja trajnim uništavanjem sadržaja datoteka, osiguravajući da čak ni uspješne uplate otkupnine ne mogu vratiti pogođene podatke.
.webp)
Funkcionalnost brisanja funkcioniše tako da potpuno briše sadržaj datoteke uz zadržavanje strukture datoteke, što rezultira datotekama koje se pojavljuju u popisima direktorija, ali sadrže nula bajtova podataka.
Tehnička implementacija ove destruktivne mogućnosti uključuje sistematsko prepisivanje sadržaja datoteka, što tradicionalne metode oporavka podataka čini neefikasnim.
Za razliku od konvencionalnog ransomwarea koji šifruje datoteke pomoću algoritama poput Elliptic Curve Integrated Encryption Scheme (ECIES) koju Anubis koristi za svoje standardne operacije šifrovanja, način brisanja u potpunosti zaobilazi šifrovanje i direktno prelazi na uništavanje podataka.
Ovakav pristup stvara nepovratan scenario u kojem se žrtve suočavaju s potpunim gubitkom podataka bez obzira na njihovu spremnost da plate otkupninu.
Anubis također uključuje dodatne destruktivne taktike osmišljene da ometaju napore oporavka sistema.
Ransomware izvršava naredbu vssadmin delete shadows /for=norealvolume /all /quietza uklanjanje svih kopija volumena u sjeni na pogođenim sistemima, efektivno uklanjajući ugrađene opcije oporavka sustava Windows .
Ovaj sistematski pristup uništavanju mehanizama za oporavak, u kombinaciji s funkcijom brisanja, stvara višeslojni napad osmišljen da maksimizira štetu i prisili žrtve da se povinuju, a istovremeno onemogućava oporavak konvencionalnim sredstvima.
Izvor: CyberSecurityNews
