Anubis的勒索软件即服务(RaaS)业务在其文件加密恶意软件中添加了一个擦除器模块,可以摧毁目标文件,即使支付赎金也无法恢复。
Anubis(不要与同名的Android恶意软件混淆,该恶意软件有一个勒索软件模块)是一个相对新的RaaS,于2024年12月首次被观察到,但在年初变得更加活跃。
2月23日,运营商在RAMP论坛上宣布了一项联盟计划。KELA当时的一份报告解释说,Anubis向勒索软件附属公司提供了80%的收益分成。数据勒索附属公司获得了60%的分成,初始访问经纪人获得了50%的分成。
目前,Anubis在暗网上的勒索页面只列出了8名受害者,这表明一旦对技术方面的信心增强,它可能会增加攻击量。
在这方面,Trend Micro最近发布的一份报告显示,Anubis的运营商正在积极开发新功能,其中一个不寻常的功能是文件清除功能。
研究人员在他们解剖的最新Anubis样本中发现了这个功能,并认为该功能的引入是为了增加受害者尽快付款的压力,而不是拖延谈判或完全无视。
Anubis与其他RaaS的区别在于,它使用了文件擦除功能,即使在加密后也会破坏恢复工作。这种破坏性倾向增加了受害者的压力,并增加了本已具有破坏性的袭击的风险。
使用命令行参数‘ /WIPEMODE ’激活破坏性行为,这需要发出基于密钥的身份验证。
Anubis的擦拭模式
激活后,擦除器擦除所有文件内容,将其大小减小到0 KB,同时保持文件名和结构完整。受害者仍然会看到预期目录中的所有文件,但其内容将被不可逆转地破坏,使恢复成为不可能。
加密前(上)和加密后(下)的文件
趋势科技的分析显示,Anubis在启动时支持几个命令,包括特权提升、目录排除和加密的目标路径。默认情况下排除重要的系统和程序目录,以避免使系统完全不可用。勒索软件删除卷影副本,并终止可能干扰加密过程的进程和服务。
加密系统使用ECIES(椭圆曲线集成加密方案)
Anubis勒索软件新增文件擦除功能
Anubis勒索软件近期升级,加入了文件擦除功能,旨在彻底摧毁目标文件而不仅仅是加密。这一变化使得数据恢复几乎不可能,增加了攻击的破坏性。该勒索软件通常通过钓鱼邮件或漏洞利用传播,针对企业和个人用户。
文件擦除技术细节
擦除器通过多次覆写文件内容实现彻底删除,确保无法通过常规手段恢复。攻击者可能采用类似DoD 5220.22-M标准的7次覆写模式,或更简单的1-3次覆写以平衡效率与破坏效果。擦除过程会针对特定文件扩展名,如文档、数据库、图像等关键数据类型。
防御与缓解措施
保持操作系统和软件更新至最新版本,修补已知漏洞。部署高级终端防护方案,具备行为检测功能以阻断勒索软件活动。实施严格的电子邮件过滤策略,拦截可疑附件和链接。
定期备份关键数据至离线存储设备或云服务,确保备份与生产环境隔离。培训员工识别钓鱼攻击和社会工程学手段,降低初始感染风险。
应急响应建议
发现感染后立即隔离受影响系统,防止横向扩散。避免支付赎金,这不能保证数据恢复且助长犯罪活动。联系专业网络安全团队进行事件响应,必要时向执法机构报告。检查网络日志确定入侵路径,关闭攻击者利用的入口点。
研究人员指出实现与EvilByte和Prince勒索软件相似。加密的文件被附加在'.anubis的扩展,HTML勒索通知被放置在受影响的目录,恶意软件还执行尝试(失败)更改桌面壁纸。
Anubis 的勒索信
网络安全公司观察到,Anubis攻击始于带有恶意链接或附件的网络钓鱼电子邮件。
扫一扫
595
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
