Az Anubis ransomware egy új zsarolóvírus-típus, amely különleges és veszélyes tulajdonsággal bír. A hagyományos titkosításon kívül képes a fájlok végleges törlésére is, ezzel megszorongatva az áldozatokat, hiszen a kifizetett váltságdíj ellenére sem biztosítja az adatvisszaállítást. A vírus működését és terjedését részletesen elemezve, a Trend Micro szakemberei az alábbiakat állapították meg.
A “wipe mode” funkció
A legújabb felfedezés szerint az Anubis ransomware nem csupán titkosítja a fájlokat, hanem véglegesen törli is azokat. A zsarolóvírus “wipe mode” nevű funkciója lehetővé teszi, hogy a fájlok tartalmát örökre eltávolítsa. Ez a funkció lehetetlenné teszi a fájlok visszaállítását, még akkor is, ha esetleg kifizetik a váltságdíjat. A fájlok mérete 0 KB-ra csökken, miközben a fájlnevek és kiterjesztéseik érintetlenek maradnak, így az áldozatok számára nem marad esély a helyreállításra.
Ezt a kettős fenyegetést a kutatók a ransomware-ek új szintjeként említik. A funkció célja, hogy növelje az áldozatokra nehezedő nyomást, hiszen, ha a fájlokat egyszer törölték, azok véglegesen elvesznek. Ezáltal a támadók jelentősen megnövelhetik a váltságdíj kifizetésére irányuló kényszerérzést.
Az Anubis affiliate programja
Az Anubis egy “Ransomware-as-a-Service” (RaaS) modellt alkalmaz, amely lehetővé teszi más bűnözők számára, hogy csatlakozzanak a támadásokhoz. A segítők (affiliate-k) a támadások során a zsarolóvírus működtetéséért felelősek, és a kifizetett váltságdíj egy részét kapják. Az Anubis segítő programja rugalmas, 80%-20%-os bevételmegosztással, amely a segítők számára 80%-ot biztosít a kifizetett váltságdíjból.
Ezen kívül más pénzszerzési lehetőségeket is kínál: adatlopás és hozzáférés-értékesítés jegyében. Adatlopás esetén a bevétel megosztása 60%-40%, míg hozzáférés-értékesítés esetén 50%-50% arányban történik.
A támadás menete
Az Anubis ransomware támadásai általában phishing e-maileken keresztül indulnak. A támadók az e-mailek segítségével szerzik meg az első hozzáférést, majd különböző eszközökkel emelik meg a jogosultságokat, végeznek felderítést és törlik a volume shadow copy-kat. Ezt követően titkosítják a fájlokat, és ha szükséges, véglegesen törlik azokat.
Az Anubis célpontjai
Az Anubis ransomware célpontjai közé különböző iparágak tartoznak, a támadások a következő szektorokban voltak különösen jellemzőek:
- Egészségügy: Az Anubis különböző egészségügyi intézményeket is támadott, köztük az ausztrál Pound Road Medical Centre-t.
- Vendéglátás és építőipar: A vendéglátóipari és építőipari cégek is jelentős áldozatok voltak a támadások során.
- Geográfiai területek: A zsarolóvírus különösen az Egyesült Államokban, Kanadában, Peruban és Ausztráliában jelentett fenyegetést.
A fenyegetés és a váltságdíj kérdése
A kutatók kiemelik, hogy az Anubis ransomware kettős fenyegetése – a fájlok titkosítása és végleges törlése – jelentős nyomást helyez az áldozatokra a váltságdíj kifizetése tekintetében. Mivel a támadók garantálják, hogy az adatokat nem lehet visszaállítani, a váltságdíj kifizetése gyakran az egyetlen lehetőség a vállalatok számára a normál működés visszaállítására.
Ez a típusú ransomware egy új szintre emeli a kibertámadások intenzitását, mivel nem csak a titkosítással, hanem az adatok végleges törlésével is manipulálják az áldozatokat. Ez azt jelenti, hogy a zsarolóvírusok hatása nemcsak az adatvesztésben, hanem az üzleti folyamatok leállításában is kifejeződik.
Védekezési lehetőségek
A szakértők hangsúlyozzák, hogy a megfelelő védekezés érdekében a vállalatoknak számos intézkedés megtétele javasolt:
- Biztonsági mentések: A rendszeres, külső helyen tárolt biztonsági mentések segíthetnek a helyreállításban, ha a fájlok titkosítva vagy törölve lettek.
- Hozzáférés-ellenőrzés: A jogosultságkezelés és az alacsony privilégiumú fiókok használata csökkentheti a támadók mozgásterét.
- Oktatás és tudatosság: Az alkalmazottak rendszeres képzése a phishing e-mailek és egyéb támadási formák felismerésére alapvető fontosságú a megelőzésben.
Az Anubis ransomware új, rendkívül veszélyes fenyegetést jelent a cégek számára, különösen a “wipe mode” funkció révén, amely véglegesen eltávolítja az adatokat. A zsarolóvírus sikeresen alkalmazza a Ransomware-as-a-Service modellt, ami lehetővé teszi más bűnözők számára a csatlakozást a támadásokhoz. A vállalatoknak minden eddiginél jobban fel kell készülniük a ransomware támadásokra, és proaktív biztonsági intézkedéseket kell hozniuk a védekezés érdekében.