Phát hiện ransomware Anubis mới cực kỳ nguy hiểm

Ransomware Anubis không chỉ mã hóa mà còn xóa vĩnh viễn các tập tin, tạo ra một "mối đe dọa kép hiếm gặp". Theo báo cáo của các nhà nghiên cứu Maristel Policarpio, Sarah Pearl Camiling và Sophia Nilette Robles từ Trend Micro, ransomware này có chế độ xóa, khiến các tập tin bị xóa không thể khôi phục ngay cả khi nạn nhân trả tiền chuộc.

ẢNH: CHỤP MÀN HÌNH

Hoạt động từ tháng 12.2024, Anubis đã nhắm đến các nạn nhân trong các lĩnh vực chăm sóc sức khỏe, khách sạn và xây dựng tại Úc, Canada, Peru và Mỹ. Ban đầu, nhóm phát triển đã đặt tên cho ransomware này là Sphinx trước khi đổi tên trong phiên bản cuối cùng. Nhóm tội phạm mạng đứng sau ransomware này được xác định là FIN7.

Mối nguy hiểm của Anubis

Theo Trend Micro, Anubis vận hành một chương trình liên kết linh hoạt, cho phép các tác nhân liên kết nhận 80% số tiền chuộc. Các chương trình tống tiền dữ liệu và bán quyền truy cập có tỷ lệ chia lần lượt là 60-40 và 50-50. Chuỗi tấn công của Anubis thường bắt đầu bằng email lừa đảo, từ đó kẻ tấn công có thể nâng cao đặc quyền, do thám và xóa các bản sao lưu trước khi mã hóa và xóa nội dung của các tập tin.

Chức năng xóa dữ liệu của Anubis, với tham số /WIPEMODE, có thể xóa vĩnh viễn nội dung của tập tin, ngăn chặn mọi nỗ lực khôi phục. Điều này làm tăng đáng kể mức độ nguy hiểm cho nạn nhân, buộc họ phải tuân thủ yêu cầu của kẻ tấn công.

Phát hiện này diễn ra trong bối cảnh Recorded Future công bố thông tin về cơ sở hạ tầng mới của nhóm FIN7, được xác định đang sử dụng để mạo danh các sản phẩm và dịch vụ phần mềm hợp pháp nhằm phát tán phần mềm độc hại. Công ty tình báo mối đe dọa thuộc sở hữu của Mastercard đã xác định ba vectơ phân phối trong năm qua, bao gồm các trang cập nhật trình duyệt giả mạo và các trang tải xuống 7-Zip giả mạo.

Ở thời điểm hiện tại, các chuyên gia ghi nhận chỉ có các trang tải xuống 7-Zip giả mạo vẫn hoạt động, với các tên miền mới được đăng ký gần đây nhất vào tháng 4.2025.