Un ransomware extrêmement dangereux apparaît, effaçant les données même si la victime a payé la rançon.
Une nouvelle variante de ransomware vient d'être découverte ; elle chiffre et supprime définitivement les fichiers des victimes, une tactique d'attaque dangereuse que les experts en cybersécurité qualifient de « double menace rare ».
Face à la sophistication et à l'impact croissants des cyberattaques, un nouveau type de ransomware doté de capacités de destruction de données sans précédent a été découvert, suscitant l'inquiétude des experts en cybersécurité.
Baptisé Anubis, ce ransomware possède un « mode d'effacement » spécial qui lui permet non seulement de chiffrer les fichiers, mais aussi de supprimer définitivement leur contenu, rendant toute récupération impossible même si la victime paie la rançon.
Selon un nouveau rapport publié par les chercheuses Maristel Policarpio, Sarah Pearl Camiling et Sophia Nilette Robles de la société de sécurité Trend Micro, Anubis fait partie du modèle croissant de ransomware en tant que service (RaaS).
La première campagne d'attaques d'Anubis a été enregistrée en décembre 2024, ciblant des secteurs clés tels que la santé, l'hôtellerie et la construction dans des pays comme l'Australie, le Canada, le Pérou et les États-Unis.
Initialement, ce ransomware portait le nom de code Sphinx, mais il a ensuite été rebaptisé Anubis, d'après un dieu égyptien associé à la mort et à l'au-delà, ce qui reflète en partie l'intention de « ne pas ressusciter » les données de la victime après l'attaque.
Il convient de noter que le ransomware Anubis n'a aucun lien avec le cheval de Troie bancaire Android ou la porte dérobée basée sur Python du même nom, qui serait l'œuvre du groupe de pirates informatiques FIN7 (également connu sous le nom de GrayAlpha).
Cela permet de différencier Anubis des autres campagnes d'attaques, tout en démontrant la complexité croissante de l'écosystème actuel des logiciels malveillants.
L'une des raisons pour lesquelles Anubis est si dangereux réside dans son modèle opérationnel sophistiqué et organisé. Selon Trend Micro, l'équipe de développement d'Anubis gère un programme d'affiliation ouvert permettant aux partenaires de rejoindre le programme et de partager les bénéfices selon des taux prédéfinis.
Concrètement, les acteurs affiliés recevront jusqu'à 80 % de la rançon si la victime paie, un partage bien plus avantageux que celui proposé par les groupes de ransomware habituels. De plus, le groupe propose d'autres options de monétisation, comme la vente de l'accès au système de la victime (partage à parts égales) ou l'extorsion de données séparément (partage à 60/40).
Ce modèle a permis à Anubis d'étendre rapidement son réseau et sa portée, attirant de nombreux petits groupes de cybercriminels, à l'instar des plateformes de logiciels en tant que service (SaaS) dans l'industrie technologique.
Capacités de processus d'attaque et de destruction de données
La chaîne d'attaque d'Anubis commence par un courriel d'hameçonnage, une méthode malheureusement trop courante mais toujours extrêmement efficace. Lorsque la victime ouvre par inadvertance une pièce jointe ou clique sur un lien malveillant, un logiciel malveillant est téléchargé et installé sur son système.
Anubis effectue ensuite les étapes classiques d'une attaque, comme l'élévation des privilèges, l'analyse du système, la suppression des sauvegardes et enfin le chiffrement des fichiers importants.
Le danger réside toutefois dans la possibilité d'effacer complètement le contenu d'un fichier, en réduisant sa taille à 0 Ko tout en conservant son nom et son format d'origine. Cette technique trompe non seulement les outils de récupération de données, mais laisse également la victime dans l'ignorance de l'étendue des dégâts jusqu'à ce qu'il soit trop tard.
« Ce ransomware prend en charge le paramètre /WIPEMODE, qui permet la suppression définitive du contenu des fichiers, rendant toute récupération impossible, même avec des outils professionnels », ont déclaré les chercheurs.
La nature destructrice de données d'Anubis n'est pas seulement destructive, mais constitue également une tactique psychologique visant à accroître la pression sur les victimes pour qu'elles paient la rançon au plus vite.
« La fonction de suppression permanente des données augmente considérablement le risque et la pression exercée sur les victimes pour les contraindre à se soumettre aux demandes de rançon, une tactique soigneusement conçue pour éliminer toute résistance », a déclaré Trend Micro.
L'apparition d'Anubis marque un pas en avant dangereux dans le monde des ransomwares, où les cybercriminels ne se contentent plus de chiffrer les données, mais peuvent également les supprimer définitivement, rendant les dégâts incommensurables.
Par conséquent, sensibiliser à la sécurité, mettre à jour régulièrement les logiciels et sauvegarder périodiquement les données sont des choses que ni les individus ni les organisations ne peuvent prendre à la légère.
