Шифровальщик Anubis обзавелся функциональностью вайпера и теперь способен уничтожать целевые файлы, делая их восстановление невозможным даже в случае выплаты выкупа.
Anubis впервые ИБ-специалистами в декабре 2024 года и начал проявлять активность в начале текущего года. Как тогда сообщали аналитики из компании F6, создатели Anubis предлагали своим партнерам три различные схемы работы: Anubis Ransomware, Anubis Data Ransom и Access Monetization. В итоге партнеры группировки могли получать до 80% от «выручки», полученной в результате атак.
Как теперь сообщили эксперты , авторы Anubis активно совершенствуют свою малварь и работают над добавлением новых функций, одной из которых стала функция уничтожения файлов.
Исследователи полагают, что появившаяся недавно функциональность вайпера используется для оказания дополнительного давления на жертв, чтобы вынудить пострадавших платить быстрее, а не затягивать и не игнорировать переговоры со злоумышленниками.
Вайпер активируется с помощью параметра командной строки /WIPEMODE, для ввода которого требуется аутентификация на основе ключа. После активации затирается все содержимое файлов, их размер уменьшается до 0 КБ, а имена и структура остаются нетронутыми. То есть жертва по-прежнему будет видеть все файлы, но их содержимое будет необратимо уничтожено, а восстановление станет невозможным.
Также анализ Trend Micro показал, что Anubis поддерживает ряд команд при запуске, включая команды повышения привилегий, исключения определенных каталогов и указания целевых путей для шифрования. Кроме того, вредонос удаляет теневые копии томов и завершает процессы и службы, которые могут помешать работе шифровальщика.
Для работы шифровальщика по-прежнему применяется ECIES (алгоритм шифрования на основе эллиптических кривых), что встречается достаточно редко. В своем отчете специалисты отмечают сходство этой реализации с малварью EvilByte и Prince.
Anubis впервые ИБ-специалистами в декабре 2024 года и начал проявлять активность в начале текущего года. Как тогда сообщали аналитики из компании F6, создатели Anubis предлагали своим партнерам три различные схемы работы: Anubis Ransomware, Anubis Data Ransom и Access Monetization. В итоге партнеры группировки могли получать до 80% от «выручки», полученной в результате атак.
Как теперь сообщили эксперты , авторы Anubis активно совершенствуют свою малварь и работают над добавлением новых функций, одной из которых стала функция уничтожения файлов.
Исследователи полагают, что появившаяся недавно функциональность вайпера используется для оказания дополнительного давления на жертв, чтобы вынудить пострадавших платить быстрее, а не затягивать и не игнорировать переговоры со злоумышленниками.
Вайпер активируется с помощью параметра командной строки /WIPEMODE, для ввода которого требуется аутентификация на основе ключа. После активации затирается все содержимое файлов, их размер уменьшается до 0 КБ, а имена и структура остаются нетронутыми. То есть жертва по-прежнему будет видеть все файлы, но их содержимое будет необратимо уничтожено, а восстановление станет невозможным.
Также анализ Trend Micro показал, что Anubis поддерживает ряд команд при запуске, включая команды повышения привилегий, исключения определенных каталогов и указания целевых путей для шифрования. Кроме того, вредонос удаляет теневые копии томов и завершает процессы и службы, которые могут помешать работе шифровальщика.
Для работы шифровальщика по-прежнему применяется ECIES (алгоритм шифрования на основе эллиптических кривых), что встречается достаточно редко. В своем отчете специалисты отмечают сходство этой реализации с малварью EvilByte и Prince.
