Появляется крайне опасная программа-вымогатель, которая стирает данные, даже если жертва заплатила выкуп.
Только что обнаружен новый вариант вируса-вымогателя, который не только шифрует, но и безвозвратно удаляет файлы жертв. Это опасная тактика атак, которую эксперты по кибербезопасности предупреждают как «редкую двойную угрозу».
Поскольку кибератаки продолжают становиться все более изощренными и разрушительными, был обнаружен новый тип программ-вымогателей с беспрецедентными возможностями уничтожения данных, что вызвало обеспокоенность среди экспертов по кибербезопасности.
Вирус-вымогатель, получивший название Anubis, имеет специальный «режим удаления», который позволяет ему не только шифровать файлы, но и безвозвратно удалять их содержимое, делая восстановление невозможным, даже если жертва заплатит выкуп.
Согласно новому отчету, опубликованному исследователями Маристель Поликарпио, Сарой Перл Камиллинг и Софией Нилетт Роблес из компании Trend Micro, занимающейся безопасностью, Anubis является частью развивающейся модели «программы-вымогатели как услуга» (RaaS).
Первая кампания атак Anubis была зафиксирована в декабре 2024 года, ее целями стали такие ключевые секторы, как здравоохранение, гостиничный бизнес и строительство в таких странах, как Австралия, Канада, Перу и США.
Первоначально вирус-вымогатель имел кодовое название Sphinx, но позже его изменили на Anubis, в честь египетского бога, связанного со смертью и загробной жизнью, что частично отражает намерение «не восстанавливать» данные жертвы после атаки.
Стоит отметить, что вирус-вымогатель Anubis не имеет никакого отношения к банковскому трояну Android или бэкдору на базе Python с тем же названием, который, как считается, является работой хакерской группы FIN7 (также известной как GrayAlpha).
Это помогает отличить Anubis от других кампаний атак, а также демонстрирует растущую сложность современной экосистемы вредоносных программ.
Одна из причин, по которой Anubis так опасен, — это его сложная и организованная операционная модель. По данным Trend Micro, команда разработчиков Anubis реализует открытую партнёрскую программу, к которой партнёры могут присоединиться и разделить прибыль по определённым ставкам.
В частности, участники программы-вымогателя получат до 80% от выкупа, если жертва заплатит, что гораздо более выгодно, чем у обычных группировок, занимающихся программами-вымогателями. Кроме того, группа поддерживает дополнительные варианты монетизации, такие как продажа доступа к системе жертвы (50/50) или вымогательство данных по отдельности (60/40).
Эта модель позволила Anubis быстро расширить свою сеть и влияние, привлекая к себе множество небольших киберпреступных группировок, аналогично тому, как работают платформы «программное обеспечение как услуга» (SaaS) в технологической отрасли.
Процесс атаки и возможности уничтожения данных
Цепочка атак Anubis начинается с фишингового письма — метода, который всем хорошо знаком, но при этом чрезвычайно эффективен. Когда жертва по неосторожности открывает вложение или переходит по вредоносной ссылке, вредоносное ПО загружается и устанавливается в систему.
Затем Anubis выполняет классические шаги атаки, такие как повышение прав доступа, сканирование системы, удаление резервных копий и, наконец, шифрование важных файлов.
Однако особую опасность представляет возможность стереть всё содержимое файла, уменьшив его размер до 0 КБ, сохранив при этом его исходное имя и формат. Это не только сбивает с толку программы восстановления данных, но и оставляет жертву в неведении о масштабе ущерба, пока не станет слишком поздно.
«Этот вирус-вымогатель поддерживает параметр /WIPEMODE, который позволяет безвозвратно удалить содержимое файла, делая восстановление невозможным даже с помощью профессиональных инструментов», — заявили исследователи.
Уничтожающая данные природа Anubis не просто разрушительна, но и представляет собой психологическую тактику, призванную усилить давление на жертву, чтобы заставить ее как можно скорее заплатить выкуп.
«Функция безвозвратного удаления данных значительно увеличивает риск и давление с целью заставить жертв выполнить требования выкупа, — тактика, тщательно разработанная для устранения сопротивления», — заявили в Trend Micro.
Появление Anubis знаменует собой опасный шаг вперед в мире программ-вымогателей, где киберпреступники не просто шифруют данные, но и могут безвозвратно удалить их, что делает ущерб неизмеримым.
Поэтому повышение осведомленности в вопросах безопасности, регулярное обновление программного обеспечения и периодическое резервное копирование данных — это вещи, к которым ни один человек и ни одна организация не могут относиться легкомысленно.
