El ransomware como servicio (RaaS) Anubis adhirió a su malware de cifrado de archivos, un módulo limpiador que destruye los archivos seleccionados, lo que hace imposible su recuperación incluso si se paga el rescate.

Anubis es un RaaS relativamente nuevo que se observó por primera vez en diciembre de 2024, pero se volvió más activo a principios de año. El 23 de febrero, los operadores anunciaron un programa de afiliados en el foro RAMP.

Un informe de KELA de aquel momento, explicó que Anubis ofreció a los afiliados de ransomware, una participación del 80% de sus ganancias. A los afiliados de extorsión de datos se les ofreció un 60%, y a los intermediarios de acceso inicial, un 50%.

Actualmente, la página de extorsión de Anubis en la dark web enumera solo ocho víctimas, lo que indica que podría aumentar el volumen de ataques una vez que se fortalezca la confianza en el aspecto técnico.

En ese contexto, un informe de Trend Micro evidencia que los operadores de Anubis están trabajando activamente para agregar nuevas características, una de las cuales es inusual: una función de borrado de archivos, que serviría para aumentar la presión sobre la víctima para que pagara más rápido en lugar de retrasar las negociaciones o ignorarlas por completo, según explica Trend Micro.

El comportamiento destructivo se activa utilizando el parámetro de línea de comando ‘/WIPEMODE’, que requiere autenticación basada en clave para su emisión.

Modo de borrado de Anubis
Fuente: Trend Micro

Cuando se activa, el limpiador borra todo el contenido de los archivos, reduciendo su tamaño a 0 KB y manteniendo intactos los nombres de los archivos y la estructura.

La víctima seguirá viendo todos los archivos en los directorios esperados, pero su contenido se destruirá irreversiblemente, lo que hará imposible la recuperación.

Archivos antes del cifrado (arriba) y después (abajo).
Fuente: Trend Micro

El análisis de Trend Micro, reveló que Anubis admite varios comandos al iniciarse, incluidos elevación de privilegios, exclusión de directorios y rutas de destino para cifrado, elimina las instantáneas de volumen y finaliza los procesos y servicios que podrían interferir con el proceso de cifrado. A los archivos cifrados se les añade la extensión ‘.anubis’, se coloca una nota de rescate HTML en los directorios afectados y el malware también intenta (fallar) cambiar el fondo de pantalla del escritorio.

La nota de rescate de Anubis
Fuente: Trend Micro

Trend Micro observó que los ataques de Anubis comienzan con correos electrónicos de phishing, que contienen enlaces o archivos adjuntos maliciosos, por cual, se recomienda estar muy atentos de los mismos. La lista completa de indicadores de compromiso (IoC) asociados con los ataques de Anubis está 
disponible aquí.

Fuente

https://www.bleepingcomputer.com/news/security/anubis-ransomware-adds-wiper-to-destroy-files-beyond-recovery/