Objevila se nová varianta ransomwaru, která má schopnost šifrovat soubory a zároveň je trvale mazat, což je vývoj, jenž byl popsán jako „vzácná dvojitá hrozba“.

„Ransomware má funkci wipe mode, která trvale maže soubory, čímž znemožňuje obnovu, i když je výkupné zaplaceno,“ uvedli experti z Trend Micro Maristel Policarpio, Sarah Pearl Camiling a Sophia Nilette Robles.

Dotyčná operace ransomware-as-a-service (RaaS) se jmenuje Anubis, která se stala aktivní v prosinci 2024 a zasáhla oběti v sektorech zdravotní péče, pohostinství a stavebnictví v Austrálii, Kanadě, Peru a USA. Analýza raných vzorků ransomwaru naznačuje, že vývojáři ho původně pojmenovali Sphinx, než upravili název značky ve finální verzi.

Stojí za zmínku, že tato kyberzločinecká skupina nemá vazby na Android bankovní trojan a Python-based backdoor stejného jména, přičemž druhý z nich je přisuzován finančně motivované skupině FIN7 (alias GrayAlpha).

„Anubis provozuje flexibilní partnerský program, který nabízí vyjednatelný podíl na příjmech a podporuje další cesty monetizace, jako je vydírání dat a prodej přístupu,“ uvedla společnost zabývající se kybernetickou bezpečností.

Partnerský program funguje na principu 80-20, přičemž partnerské subjekty získávají 80 % zaplaceného výkupného. Na druhou stranu, programy vydírání dat a zpeněžení přístupu nabízejí podíly 60-40 a 50-50.

Útoky prováděné Anubisem zahrnují použití phishingových e-mailů jako počátečního vektoru přístupu, přičemž hrozební aktéři využívají získaný přístup k eskalaci privilegií, provádění průzkumu a podnikání kroků k odstranění kopií objemového stínu, než zašifrují soubory a v případě potřeby smažou jejich obsah.

To znamená, že velikost souborů se snižuje na 0 KB, zatímco názvy souborů nebo jejich přípony zůstávají nedotčeny, což znemožňuje obnovu a tím zvyšuje tlak na oběti, aby zaplatily.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS