O nouă variantă a periculosului ransomware Anubis introduce o funcționalitate distrugătoare: un modul „ștergător” care elimină complet fișierele, chiar și după criptare, făcând imposibilă orice recuperare.
Anubis, un nume deja cunoscut în lumea amenințărilor cibernetice, a evoluat într-o manieră extrem de periculoasă. Nu este vorba de malware-ul Android cu același nume, ci de un ransomware-as-a-service (RaaS) lansat inițial la sfârșitul anului 2024. Deși relativ nou, Anubis a atras atenția experților în securitate cibernetică, iar activitatea sa a crescut semnificativ în 2025, culminând cu o evoluție devastatoare: integrarea unui modul „ștergător”.
Conform unui raport recent Trend Micro, noile versiuni ale ransomware-ului depășesc metodele obișnuite de extorcare digitală. Dacă până acum fișierele erau doar criptate, oferind o șansă teoretică de recuperare prin plată, acum pot fi complet distruse printr-o comandă specială, denumită „WIPEMODE„. Această comandă elimină ireversibil conținutul fișierelor, reducându-le dimensiunea la 0 KB, în timp ce structura directoarelor și denumirile rămân intacte, creând o iluzie falsă pentru victime.
WipeMode: Ultima presiune asupra victimelor
Această nouă tactică are un scop clar: creşterea presiunii asupra victimelor. Fără posibilitatea recuperării, chiar și după plată, atacatorii mizează pe frică și panică pentru a obține reacții rapide din partea companiilor afectate. „Comportamentul distructiv al Anubis nu doar că elimină posibilitatea de recuperare, ci amplifică disperarea în negocierile deja tensionate,” se menționează în raportul Trend Micro.
Activarea modulului WIPEMODE se realizează prin linia de comandă și necesită o autentificare cu cheie, demonstrând un control sporit al dezvoltatorilor. După activare, fișierele sunt iremediabil compromise, transformând ransomware-ul dintr-un instrument de extorcare într-o unealtă de sabotaj cibernetic.
Anubis mai oferă o serie de comenzi, inclusiv ridicarea privilegiilor, excluderea unor directoare (pentru a menține funcționarea sistemului și a permite mesajul de răscumpărare), specificarea țintelor pentru criptare etc. Acesta utilizează schema de criptare ECIES (Elliptic Curve Integrated Encryption Scheme) și prezintă similitudini în implementarea sa cu alte variante cunoscute, cum ar fi EvilByte și Prince.
Cum funcționează atacul și cine este vizat?
Anubis se răspândește, ca și alte amenințări similare, prin phishing – e-mailuri înșelătoare care conțin linkuri sau fișiere atașate malițioase. Odată accesate, acestea activează malware-ul, elimină copii de siguranță ale sistemului (Volume Shadow Copies), blochează procese critice pentru a evita întreruperile în criptare și lasă o notă de răscumpărare HTML în directoarele afectate. Încercările de modificare a fundalului desktop-ului nu au avut succes în studiile Trend Micro.
Fișierele criptate sunt marcate cu extensia „.anubis”. În absența plății, victimele sunt incurajate să contacteze atacatorii prin adresa furnizată. În prezent, pagina de extorcare de pe dark web listează doar un număr limitat de victime, însă experții avertizează că cifra ar putea crește rapid pe măsură ce popularitatea atacului se extinde.
În februarie 2025, dezvoltatorii Anubis au lansat oficial programul de afiliere pe un forum dedicat, oferind comisioane atractive: 80% atacatorilor direcți, 60% celor care se ocupă de șantajul datelor și 50% pentru brokerii de acces initial. Aceste stimulente financiare vor cataliza, probabil, o agresivă extindere a acestuia.
Ce implică acest lucru pentru companii și utilizatori?
Noua versiune a Anubis marchează o escaladare îngrijorătoare a amenințărilor cibernetice. Dacă până acum plata unei răscumpărări oferea o posibilă cale de ieșire, acum nu mai există nicio garanție. Odată activat modulul WIPEMODE, datele sunt pierdute iremediabil, indiferent de eventuala plată.
Comportamentul distructiv pune în discuție valoarea plății unei răscumpărări și evidențiază importanța prevenirii, a backup-urilor externe și a educației utilizatorilor. Organizațiile trebuie să-și reevalueze măsurile de securitate, să testeze planurile de răspuns la incidente și să fie extrem de atenți la orice e-mail suspect.
Într-o lume în care ransomware-ul devine din ce în ce mai agresiv, Anubis este un avertisment clar: nu mai este vorba doar de bani, ci de distrugere sistematică. Și când un atacator este dispus să distrugă totul fără nicio garanție de recompensă, răspunsul nostru trebuie să fie mai rapid și mai bine pregătit.