A operação de ransomware-as-a-service (RaaS) Anubis adicionou um módulo wiper ao seu malware de criptografia de arquivos que destrói arquivos alvo, tornando a recuperação impossível mesmo que o resgate seja pago.
Anubis (não confundir com o malware Android de mesmo nome com um módulo de ransomware) é um RaaS relativamente novo, observado pela primeira vez em dezembro de 2024, mas que se tornou mais ativo no início do ano.
Em 23 de fevereiro, os operadores anunciaram um programa de afiliados no fórum RAMP.
Um relatório da KELA na época explicou que o Anubis ofereceu aos afiliados de ransomware um compartilhamento de 80% dos seus lucros.
Afiliados de extorsão de dados foram oferecidos 60%, e corretores de acesso inicial um corte de 50%.
Atualmente, a página de extorsão do Anubis na dark web lista apenas oito vítimas, indicando que poderia aumentar o volume de ataques uma vez que a confiança no aspecto técnico seja fortalecida.
Nesse aspecto, um relatório da Trend Micro publicado ontem contém evidências de que os operadores do Anubis estão ativamente trabalhando na adição de novas funcionalidades, sendo uma delas, incomum, uma função de file-wiping.
Os pesquisadores encontraram o wiper nas últimas amostras do Anubis que dissecaram, e acreditam que a funcionalidade foi introduzida para aumentar a pressão na vítima para pagar mais rápido em vez de adiar negociações ou ignorá-las por completo.
"O que ainda diferencia o Anubis de outros RaaS e confere uma vantagem às suas operações é o uso de uma função de file wiping, projetada para sabotar esforços de recuperação mesmo após a criptografia", explica a Trend Micro.
Essa tendência destrutiva aumenta a pressão sobre as vítimas e eleva os riscos de um ataque já danoso.
O comportamento destrutivo é ativado usando o parâmetro de linha de comando ‘/WIPEMODE’, que requer autenticação baseada em chave para emitir.
Quando ativado, o wiper apaga todo o conteúdo do arquivo, reduzindo seus tamanhos a 0 KB, enquanto mantém os nomes de arquivos e a estrutura intactos.
A vítima ainda verá todos os arquivos nos diretórios esperados, mas seus conteúdos serão irreversivelmente destruídos, tornando a recuperação impossível.
A análise da Trend Micro revela que o Anubis suporta vários comandos no lançamento, incluindo para elevação de privilégio, exclusão de diretório, e caminhos alvo para criptografia.
Diretórios importantes do sistema e programas são excluídos por padrão para evitar tornar o sistema completamente inutilizável.
O ransomware remove as Cópias de Sombra de Volume e encerra processos e serviços que poderiam interferir com o processo de criptografia.
O sistema de criptografia usa ECIES (Elliptic Curve Integrated Encryption Scheme), e os pesquisadores notaram semelhanças de implementação com os ransomwares EvilByte e Prince.
Os arquivos criptografados recebem a extensão '.anubis', uma nota de resgate em HTML é deixada nas pastas impactadas, e o malware também executa uma tentativa (falha) de alterar o papel de parede da área de trabalho.
A Trend Micro observou que os ataques do Anubis começam com e-mails de phishing que carregam links ou anexos maliciosos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...