Un ransomware extrêmement dangereux apparaît, effaçant les données même si la victime a payé la rançon
Une nouvelle variante de ransomware vient d'être découverte. Elle non seulement crypte mais supprime également définitivement les fichiers des victimes, une tactique d'attaque dangereuse que les experts en cybersécurité avertissent qu'il s'agit d'une « double menace rare ».
Alors que les cyberattaques continuent de gagner en sophistication et en impact, un nouveau type de ransomware a été découvert avec des capacités de destruction de données sans précédent, suscitant l'inquiétude des experts en cybersécurité.
Surnommé Anubis, le ransomware dispose d'un « mode de suppression » spécial qui lui permet non seulement de crypter les fichiers mais également de supprimer définitivement leur contenu, rendant la récupération impossible même si la victime paie la rançon.
Selon un nouveau rapport publié par les chercheurs Maristel Policarpio, Sarah Pearl Camiling et Sophia Nilette Robles de la société de sécurité Trend Micro, Anubis fait partie d'un modèle croissant de ransomware-as-a-service (RaaS).
La première campagne d'attaque Anubis a été enregistrée en décembre 2024, ciblant des secteurs clés tels que la santé, l'hôtellerie et la construction dans des pays comme l'Australie, le Canada, le Pérou et les États-Unis.
Au départ, le ransomware portait le nom de code Sphinx, mais a ensuite été changé en Anubis, d'après un dieu égyptien associé à la mort et à l'au-delà, ce qui reflète en partie l'intention de « ne pas faire revivre » les données des victimes après avoir été attaquées.
Il convient de noter que le ransomware Anubis n'a aucun lien avec le cheval de Troie bancaire Android ou la porte dérobée basée sur Python du même nom, qui serait l'œuvre du groupe de pirates FIN7 (également connu sous le nom de GrayAlpha).
Cela permet de différencier Anubis des autres campagnes d’attaque, tout en démontrant la complexité croissante de l’écosystème des logiciels malveillants d’aujourd’hui.
L'une des raisons pour lesquelles Anubis est si dangereux réside dans son modèle opérationnel sophistiqué et organisé. Selon Trend Micro, l'équipe de développement d'Anubis gère un programme d'affiliation ouvert auquel les partenaires peuvent adhérer et partager les bénéfices à des taux spécifiques.
Plus précisément, les acteurs affiliés recevront jusqu'à 80 % de la rançon si la victime paie, un partage bien plus attractif que celui des groupes de rançongiciels classiques. De plus, le groupe propose des options de monétisation supplémentaires, comme la vente de l'accès au système de la victime (partage 50-50) ou l'extorsion de données séparée (partage 60-40).
Ce modèle a permis à Anubis d'étendre rapidement son réseau et son influence, attirant de nombreux petits groupes de cybercriminels, de la même manière que fonctionnent les plateformes de logiciels en tant que service (SaaS) dans l'industrie technologique.
Processus d'attaque et capacités de destruction des données
La chaîne d'attaque d'Anubis commence par un e-mail d'hameçonnage, une méthode bien connue mais pourtant extrêmement efficace. Lorsque la victime ouvre une pièce jointe ou clique sur un lien malveillant par inadvertance, un logiciel malveillant est téléchargé et installé sur son système.
Anubis exécute ensuite les étapes d'attaque classiques telles que l'élévation de l'accès, l'analyse du système, la suppression des sauvegardes et enfin le cryptage des fichiers importants.
Cependant, le plus dangereux est la possibilité d'effacer l'intégralité du contenu d'un fichier, réduisant sa taille à 0 Ko tout en conservant son nom et son format d'origine. Non seulement cela trompe les outils de récupération de données, mais la victime ignore également l'étendue des dégâts avant qu'il ne soit trop tard.
« Ce ransomware prend en charge le paramètre /WIPEMODE, qui permet la suppression permanente du contenu des fichiers, rendant la récupération impossible même avec des outils professionnels », ont déclaré les chercheurs.
La nature destructrice de données d’Anubis n’est pas simplement destructrice, mais aussi une tactique psychologique pour augmenter la pression sur les victimes afin qu’elles paient la rançon dès que possible.
« La fonction de suppression permanente des données augmente considérablement le risque et la pression pour forcer les victimes à se conformer aux demandes de rançon, une tactique soigneusement conçue pour éliminer la résistance », a déclaré Trend Micro.
L’émergence d’Anubis marque une avancée dangereuse dans le monde des ransomwares, où les cybercriminels ne se contentent pas de crypter les données, mais peuvent également les supprimer définitivement, rendant les dommages incommensurables.
Par conséquent, la sensibilisation à la sécurité, la mise à jour régulière des logiciels et la sauvegarde périodique des données sont des choses qui ne peuvent être prises à la légère par aucun individu ou organisation.
