Nowa złośliwe oprogramowanie ransomware pojawia się, które najpierw szyfruje, a następnie na stałe usuwa pliki

Badania ujawniły niebezpieczny nowy zwrot w taktykach ransomware. Ostatnio odkryty złośliwy program Anubis stosuje podwójny atak na dane, co sprawia, że odzyskanie ich jest niemal niemożliwe. Odejście od normy, Anubis wykracza poza zwykłe szyfrowanie plików, aby zablokować użytkowników. Jego wyróżniającą cechą jest opcjonalna funkcja całkowitego zniszczenia danych – wiper. Napastnicy wynajmujący to złośliwe narzędzie (działające w modelu Ransomware-as-a-Service lub RaaS) mogą ręcznie uruchomić funkcję usuwania danych po zakończeniu procesu szyfrowania.

Oto jak to działa: Pliki są najpierw szyfrowane, jak w standardowym ataku ransomware. Następnie, według uznania napastnika, uruchamiany jest proces, który trwale je usuwa. Eksperci uważają, że funkcja usuwania jest przede wszystkim bronią psychologiczną. Eliminując nawet hipotetyczną szansę na odzyskanie danych – nawet jeśli ofiary mają kopie zapasowe lub zapłacą okup – napastnicy wywierają presję na ofiary, aby szybko spełniły ich żądania, zniechęcając do negocjacji lub poszukiwania innych opcji.

Anubis rozprzestrzenia się głównie poprzez wyrafinowane e-maile phishingowe, które udają legalne komunikaty. Poza szyfrowaniem i usuwaniem, ma niebezpieczny arsenał: możliwość uruchamiania dowolnych poleceń, eskalacji uprawnień systemowych i usuwania kopii zapasowych woluminu (kluczowych dla odzyskiwania systemu).

Badacze zauważają, że ten złośliwy program zaczął się pojawiać pod koniec ubiegłego roku pod inną nazwą (Sphinx), ale teraz jest aktywnie rozwijany jako Anubis. Chociaż liczba potwierdzonych ofiar jest obecnie niska, może to wskazywać, że złośliwe oprogramowanie wciąż jest w aktywnym rozwoju i testach przed potencjalną szerszą kampanią ataków. Pojawienie się Anubis, z jego gwarantowaną zdolnością do zniszczenia danych, oznacza nowy poziom bezwzględności w cyberprzestępczości.