Групата Anubis, действаща като платформа „рансъмуер като услуга“ (RaaS), добави нова функция към зловредния си софтуер — унищожител на файлове (wiper). Чрез него всички криптирани файлове могат да бъдат трайно изтрити, правейки възстановяването им невъзможно, дори ако жертвите платят искания откуп.

Не бива да се бърка с Anubis, съществуващ като зловредно приложение за Android с функция за рансъмуер. Рансъмуер групата Anubis беше засечена за първи път през декември 2024 г., а активността ѝ нарасна с началото на 2025 г.

На 23 февруари групата обяви партньорската си програма на форума RAMP, с което потърси съучастници, готови да разпространяват нейния софтуер.

Роля на партньорите (филиалите)

Според доклада на KELA, Anubis предлага на партньорите (филиалите) 80% от платения откуп при криптиране на файлове, 60% при изтичане на данни, и 50% на брокерите на достъп.

На darknet страниците на групировката към момента са обявени само 8 жертви, но специалистите смятат, че атаките могат да станат по-масови с укрепването на техническата платформа на Anubis.

Вайпер функция с уникално предназначение

Неотдавнашно изследване на Trend Micro показа, че Anubis внедрява функция “wiper”, с която всички файлове могат да бъдат изтрити завинаги — даже при плащане на искания откуп.

Необичайната функция се активира с командно поле “/WIPEMODE”, изискващо криптографски ключ за потвърждение.

Как действа wiper функцията?

След активиране на режима всички файлове се изчистват (размерът им става 0 KB), като структурата на папките и файловите имена остава, създавайки илюзия за наличие на всички документи. В същото време всички данни са трайно загубени.

Други технически особености на Anubis

• Рансъмуерът премахва всички Volume Shadow Copies, за да препятства възстановяването на файлове.

• Деактивира услуги и процеси, за да избегне смущения при криптиране.

• Реализира криптиране с алгоритъма ** ECIES (Ellptic Curve Integrated Encryption Scheme)**.

• В съставната му функция са наблюдавани прилики с EvilByte и Prince Ransomware.

• Файловете, криптирани с Anubis, получават разширение .anubis.

• В папките с криптирано съдържание се създава HTML бележка с искането на откуп.

• Рансъмуерът прави неуспешен опит да смени и тапета на работния плот на заразения компютър.

Вектор на зараза

Trend Micro съобщава, че атаките с Anubis стартират чрез фалшиви имейли с прикачени вредни файлове и URL адреси.

Групите зад Anubis използват също социално инженерство, за да принудят потребителите да стартират вредната програма на своите устройства.

Заключение

Добавянето на унищожителната функция wiper показва, че групите зад Anubis са готови да прилагат всички възможни механизми за изнудване, включително трайно унищожаване на всички файлове на жертвите.
Специалистите съветват компаниите да приложат проактивни мерки за защита, да съхраняват резервни копия на всички критични данни и да внедрят съвременни платформи за наблюдение и реакция при инциденти.