Cancella, trapela, ricatta: Il folle playbook ibrido del ransomware Anubis
Anubis è un'operazione di ransomware-as-a-service (RaaS) emersa nel dicembre 2024, e si è rapidamente distinta integrando capacità di cancellazione dei file accanto alla tradizionale crittografia e esfiltrazione dei dati. Il gruppo opera diversi programmi di affiliazione con divisioni di entrate che vanno dal 50% all'80%, e prende di mira molteplici settori in diversi paesi, tra cui Australia, Canada, Perù e Stati Uniti.
La storia delle origini di Anubi
Si pensa che Anubis abbia iniziato la sua vita attuale sotto il nome in codice "Sphinx", osservato per la prima volta alla fine del 2024. I campioni di ransomware Sphinx sono stati trovati con note di riscatto che mancavano sia di un sito TOR che di un ID univoco, suggerendo che il malware fosse in fase di sviluppo o che gli operatori fossero nuovi e inesperti.
Sphinx nota di riscatto, via Trend Micro
Intorno allo stesso periodo, i ricercatori hanno notato che un attore di minacce chiamato Anubis ha creato un account su X (precedentemente Twitter), e poco dopo è stato osservato un ransomware con marchio Anubis. Quando sono stati confrontati i campioni di Sphinx e Anubis, i ricercatori hanno trovato i binari del malware quasi identici.
Chi è Anubis?
Iniziamo questa sezione con chi Anubis non è. Ci sono altre due minacce chiamate Anubis. Una è un trojan bancario Android osservato per la prima volta nel 2016. La seconda fa parte di un toolkit utilizzato dal gruppo FIN7, noto anche come Carbanak Group. Questo è un strumento personalizzato usato per il comando e controllo (C2) e l'esfiltrazione dei dati. Questo insieme di strumenti è stato osservato per la prima volta nel 2020.
È anche un buon momento per notare che il ransomware pre-Anubis Sphinx non è la variante di ransomware BlackCat chiamata 'Sphynx.'
Con questo fuori mano, diamo un'occhiata a ciò che sappiamo sul gruppo Anubis RaaS. Inizieremo con due operativi di Anubis che hanno pubblicato su due forum di criminalità informatica russi. L'utente 'supersonic' ha pubblicato sul forum RAMP per pubblicizzare il RaaS e reclutare affiliati. L'utente 'Anubis_Media' pubblica in modo simile sul forum XSS. Poiché le comunicazioni sui forum sono normalmente condotte in russo, i ricercatori credono che gli operatori di Anubis siano basati in Russia o in altri paesi della Comunità degli Stati Indipendenti (CSI). Ci sono più fattori a supporto di questa teoria:
- Attività come negoziazioni di ransomware, aggiornamenti del sito di leak e attività di attacco pratiche sembrano avvenire principalmente durante le ore lavorative comuni nel fuso orario di Mosca Standard Time (MSK).
- I binari del ransomware Anubis e la nota di riscatto includono stringhe in lingua russa e occasionali caratteri russi lasciati nel codice.
- Anubis vieta attacchi agli stati ex sovietici e richiede specificamente l'accesso iniziale ai paesi occidentali.
Gli analisti della sicurezza sospettano anche che gli operatori di Anubis siano esperti come operatori o affiliati con altri gruppi ransomware.
Modello di business e monetizzazione
Il 23 febbraio 2025, il gruppo ha pubblicizzato un "nuovo formato" di programmi di affiliazione sul forum RAMP, con tutte le strutture di condivisione dei ricavi aperte a negoziazione. Questo nuovo formato includeva tre distinti canali di monetizzazione:
- Programma RaaS tradizionale: Come la maggior parte dei programmi ransomware-as-a-service, gli affiliati utilizzano l'infrastruttura Anubis e altre risorse per attaccare i bersagli. Anubis prende il 20% dei proventi del riscatto e l'80% restante va all'affiliato.
- Programma di estorsione di dati: Questo schema è per criminali che vogliono assistenza nella monetizzazione di dati che sono già stati rubati. Questo programma permette agli affiliati di fornire ad Anubis dati che il gruppo utilizzerà poi per estorcere la vittima. Anubis richiede agli affiliati di fornire dati che non abbiano più di sei mesi e che non siano stati pubblicati altrove. Devono anche essere abbastanza sensibili o interessanti da poter essere sfruttati per la pubblicazione. Gli affiliati ricevono il 60% di quanto Anubis raccoglie.
- Monetizzazione dell'accesso: I broker di accesso iniziale (IAB) ricevono una quota del 50% dei proventi degli attacchi sulle credenziali di accesso alla rete aziendale. Gli affiliati possono monitorare in tempo reale qualsiasi attacco risultante tramite aggiornamenti sugli attacchi dal vivo forniti da Anubis.
Post sul forum XSS che pubblicizza la monetizzazione dell'accesso, tramite FalconFeeds
Screenshot parziale del post di Anubis sui forum RAMP, tramite Tammy H, LinkedIn
Questo approccio diversificato consente ad Anubis di espandere la sua lista di vittime, attrarre nuovi affiliati e generare entrate da più fonti. Riduce inoltre la dipendenza dalle tattiche tradizionali di crittografia ransomware. Questo modello di business suggerisce esperienza nella gestione di affiliati e di molteplici tipi di estorsione.
Capacità tecniche e catena di attacco di Anubis
Anubis utilizza Elliptic Curve Integrated Encryption Scheme (ECIES) per la crittografia dei file. ECIES è più avanzato rispetto agli schemi crittografici medi a causa della sua natura ibrida, della dipendenza dalle curve ellittiche e dell'integrazione di più livelli di sicurezza. Questo metodo di crittografia è veloce e leggero, e quasi impossibile da decifrare senza una chiave.
Una delle caratteristiche più discusse del ransomware Anubis è la sua capacità di distruzione dei file. Questa funzione di wiper viene attivata utilizzando un parametro della riga di comando configurato prima dell'attacco. Quando attivata, i file vengono distrutti anziché crittografati. Questo è insolito perché la maggior parte delle operazioni di ransomware dipende dalla raccolta di un pagamento per una chiave di decrittazione.
catena di attacco Anubis
Il ransomware Anubis segue una tipica catena di attacco, anche se a volte include la funzionalità di cancellazione dei file.
L'accesso iniziale viene spesso ottenuto tramite campagne di spear phishing attentamente progettate che utilizzano link e allegati dannosi. Gli operatori di Anubis controllano un'infrastruttura di phishing estesa che massimizza i tassi di infezione, elude il rilevamento e supporta i loro affiliati RaaS. Il modello RaaS di Anubis consente inoltre agli affiliati di utilizzare i propri toolkit di phishing.
Il ransomware Anubis viene distribuito anche attraverso sistemi di protocollo desktop remoto (RDP) tramite exploit, attacchi brute force e credential stuffing. È stato inoltre osservato entrare nei sistemi tramite aggiornamenti software falsi e installatori di software legittimi infettati con malware. Gli operatori di Anubis offrono agli affiliati i toolkit, i database delle credenziali e l'infrastruttura di distribuzione del malware per supportare tutte queste tattiche.
Il deployment del payload segna la transizione dall'accesso iniziale all'esecuzione attiva del ransomware. Può essere attivato quando un utente interagisce con un allegato dannoso, oppure può essere attivato automaticamente se l'accesso iniziale avviene tramite un exploit o un attacco alle credenziali. Il binario Anubis quindi analizza i parametri della riga di comando che controllano quali file sono presi di mira e se utilizzare il wiper o la crittografia standard. C'è molto di più, ma questi compiti stabiliscono l'ambito dell'attacco.
L'elevazione dei privilegi inizia con un tentativo su \\.\PHYSICALDRIVE0, che è un percorso di dispositivo grezzo che richiede privilegi amministrativi. Questo percorso viene utilizzato perché aiuta gli attaccanti a evitare il rilevamento. Poiché il percorso del dispositivo grezzo non è un percorso file valido di Windows, il sistema operativo non risponde con chiamate API di Windows o con prompt di Controllo dell'account utente (UAC).
Se viene rilevato l'accesso amministrativo, il ransomware tenterà quindi di aumentare ulteriormente i privilegi. In caso contrario, il binario può tentare di aumentare i privilegi o operare in modalità limitata. Questa logica condizionale gli permette di adattarsi a diversi ambienti durante un attacco.
Discovery inizia con target identification del file system reconnaissance. Anubis crea un inventario di documenti, immagini, file di database e archivi compressi potenzialmente preziosi. Il malware exclude System32 and other critical system and application directories che potrebbero causare errori di sistema o attirare l'attenzione sull'attacco.
Elusione della difesa utilizza un insieme di script e strumenti per disabilitare o altrimenti bypassare i meccanismi di sicurezza come antivirus, strumenti di monitoraggio, ecc. I processi di backup vengono interrotti e tutte le copie shadow su tutti i volumi vengono rimosse. Questa fase riguarda Anubis che protegge la sequenza di attacco dalla rilevazione e dall'interruzione.
È importante notare che, sebbene queste catene di attacco siano concettualizzate come una serie sequenziale di attività correlate, le fasi di un attacco moderno non sono così ben definite. Qualsiasi malware che sia modulare e capace di automazione e flussi di attacco condizionali può eseguire più funzioni contemporaneamente. Questo è spesso il caso di fasi come esfiltrazione dei dati, escalation dei privilegi, evasione delle difese e ricognizione. Ad esempio, un attacco ransomware potrebbe eseguire l'identificazione del bersaglio e l'esfiltrazione mentre tenta anche di eseguire l'escalation dei privilegi e disabilitare le difese. Non è insolito vedere fasi sovrapposte o simultanee in una catena di attacco.
L'esfiltrazione dei dati inizia quando Anubis sposta i file mirati in directory temporanee dove vengono preparati per l'esfiltrazione. Questi file possono essere compressi prima di essere trasferiti tramite protocolli ftp o API di storage cloud. Questi dati vengono solitamente trasferiti su canali crittografati.
Crittografia o cancellazione dei dati avviene nella fase distruttiva dell'attacco. Supponendo che l'attacco proceda con la crittografia, Anubis leggerà e quindi crittograferà i contenuti dei file e rinominerà i file crittografati con l'estensione .anubis.
Se il parametro /WIPEMODE è abilitato, Anubis sovrascriverà anziché crittografare il contenuto dei file bersaglio. Questo processo lascerà intatti i nomi dei file ma ridurrà le dimensioni a zero byte.
File prima della distruzione da parte del ransomware Anubis wiper, tramite Trend Micro
File dopo la distruzione da parte del ransomware Anubis wiper, tramite Trend Micro
Anubis tenterà anche di cambiare lo sfondo e le icone del file system per rappresentare il marchio Anubis.
Molti analisti e giornalisti hanno messo in dubbio lo scopo strategico del file wiper . Se i file della vittima vengono sovrascritti, non c'è motivo per la vittima di pagare un riscatto per la decrittazione. Se l'attore della minaccia vuole riscuotere un riscatto, tuttavia, può ancora farlo in cambio dei dati che sono stati rubati. Può anche chiedere un riscatto per non divulgare i dati a una terza parte.
La funzione wiper è potenzialmente utile se l'attore della minaccia non vuole un riscatto dalla vittima. Se assumiamo che gli operatori di Anubis vogliano guadagnare da ogni attacco, allora gli affiliati potrebbero offrire qualche tipo di schema di monetizzazione utilizzando i dati rubati. Questo potrebbe funzionare per ricerche sensibili e altre proprietà intellettuali (IP). Ad esempio, un affiliato potrebbe rubare i dati, distruggere la fonte e poi utilizzare l'infrastruttura di affiliazione dati di Anubis per vendere i dati al miglior offerente. Tuttavia, tutto ciò è speculazione e non ci sono rapporti pubblicamente disponibili su questo tipo di attività collegata ad Anubis.
La nota di riscatto completa la catena di attacco. Anubis solitamente lascia un file chiamato “RESTORE FILES.html” in ogni directory interessata. La nota include informazioni di contatto, istruzioni per il pagamento, scadenze e ulteriori minacce come la pubblicazione o la vendita dei dati della vittima.
Nota di riscatto Anubis, via Trend Micro
Vittime e approfondimenti
Anubis è difficile da profilare perché il gruppo ha solo nove vittime conosciute e ci sono rapporti e conclusioni contrastanti sulle origini e sulla cronologia delle attività. Tuttavia, possiamo tentare di trarre alcune intuizioni da ciò che sappiamo sulle vittime e sui dati rubati:
| Data elencata | Vittima | Dati rubati |
| 19 giugno 2025 | Disneyland Paris - Operatore di parchi a tema | Progetti riservati di attrazione, specifiche tecniche, oltre 4.000 file multimediali, documentazione, contratti |
| 10 giugno 2025 | Parkway Construction & Architecture - Studio di architettura coinvolto nella costruzione di strutture per la difesa e l'aerospazio | progetti conformi SCIF, mappe delle strutture, schemi, piani dei contraenti (L3Harris, Virgin Galactic) |
| 22 aprile 2025 | Catawba Two Kings Casino - Operatore di casinò | Piani di sicurezza, posizioni di casseforti e telecamere, schemi BOH |
| 31 marzo 2025 | DG2 Design Architettura del Paesaggio - Azienda di progettazione e architettura del paesaggio | I'm sorry, but it seems there is no specific text provided for translation. Could you please provide the text you want to be translated into Italian? |
| 23 marzo 2025 | Ambleside, Inc. - Fornitore di servizi sanitari con dati sensibili sui pazienti e sugli incidenti del personale | Segnalazioni di abuso/negligenza del paziente, dati medici personali, contatti di emergenza |
| 24 febbraio 2025 | First Defense Fire Protection, Inc. - Contraente per la protezione antincendio che serve aeroporti, rivenditori e aziende energetiche | Schemi dei sistemi antincendio, piani dell'edificio, contratti dei clienti (Walmart, Siemens Energy, Hilton Head Airport) |
| 24 febbraio 2025 | Comercializadora S&E Peru - Fornitore industriale in Perù | Registri finanziari, PII di dipendenti/clienti, documenti del CEO, rapporti sugli incidenti |
| 24 febbraio 2025 | Pound Road Medical Centre - Clinica medica | Cartelle cliniche, passaporti, rapporti di violazione della sicurezza, storia delle vaccinazioni |
| 24 febbraio 2025 | Angels of Summit - Fornitore di servizi sanitari | 7,000+ record medici, SSN, DOB, informazioni di contatto, rapporti interni |
Esaminiamo innanzitutto alcuni schemi delle vittime. Anubis sembra concentrarsi su organizzazioni con accesso a dati proprietari, riservati o ad alto rischio. Ciascuna delle vittime possiede progetti o schemi di strutture, dati medici o personali, oppure contratti e rapporti interni. Alcuni di questi rapporti interni includono violazioni della conformità e rapporti di abusi o altre informazioni potenzialmente imbarazzanti.
Esistono diversi tipi di rischio rappresentati in questi dati rubati. I progetti e gli schemi possono essere utilizzati per sabotare apparecchiature sensibili o creare minacce fisiche strategiche a un luogo pubblico. I dati rubati da First Defense Fire Protection includono schemi dei sistemi di sicurezza, planimetrie degli edifici e altre informazioni sensibili sulla sicurezza. I dati di Disneyland includono progetti e migliaia di foto "dietro le quinte" che mostrano dipendenti, strutture e attrezzature.
Set di dati delle vittime offuscato
Ci sono anche migliaia di documenti con informazioni mediche e finanziarie, registri disciplinari, contratti con fornitori, documentazione di conformità e altro ancora. Alcune vittime pagheranno per impedire che tali dati trapelino al pubblico. Se le vittime non pagano, Anubis può facilmente vendere i dati ai concorrenti e ad altre terze parti.
Queste informazioni sulla vittima possono suggerire:
Obiettivi di alto valore e ad alto impatto: Gli operatori e affiliati di Anubis sono intenzionali nel loro targeting. Prendono di mira vittime con dati operativamente sensibili che possono essere utilizzati per estorsione, rivendita o vantaggio strategico.
Estorsione incentrata sui dati: I dati rubati includono costantemente progetti, schemi, dati medici, layout di sicurezza, dettagli dell'infrastruttura, contratti, documenti finanziari e rapporti sugli incidenti. Anubis attribuisce maggiore valore alle minacce di esfiltrazione e pubblicazione dei dati, piuttosto che al tradizionale riscatto basato sulla crittografia.
Motivazioni miste: Anubis potrebbe essere motivato da spionaggio o sabotaggio aziendale. Il tipo di dati rubati può servire interessi diversi dall'estorsione diretta. Questi altri interessi potrebbero essere le ragioni dietro gli attacchi.
Fughe di dati aggressive: Gli operatori di Anubis diffondono i dati rapidamente. Una volta che una vittima è elencata sul sito di fuga di dati Anubis, il conto alla rovescia per la pubblicazione completa dei dati inizia.
Timer del conto alla rovescia sul post della vittima, tramite FalconFeeds
Interessi specifici sui dati: Anubis ha un interesse specifico per i progetti, le infrastrutture e altri piani di costruzione riservati. Il gruppo potrebbe specializzarsi nel furto di informazioni che hanno un valore di rivendita sia strategico che criminale.
Gli analisti hanno bisogno di ulteriori informazioni prima di trarre conclusioni sulle motivazioni e i piani di Anubis. Non ci sono abbastanza dati noti per stabilire modelli o motivazioni significative per il gruppo. È interessante pensarci, ma si spera che Anubis svanisca e non ci fornisca ulteriori dati da considerare.
Proteggiti
Per proteggere la tua organizzazione dal ransomware Anubis, dai priorità a una strategia di difesa in profondità che includa la segmentazione della rete, controlli di accesso con il minor privilegio possibile e backup dati robusti. Assicurati che i dati sensibili architettonici, medici o operativi siano archiviati in modo sicuro con una corretta crittografia a riposo e in transito. Implementa controlli di accesso rigorosi in modo che solo il personale autorizzato possa visualizzare o modificare file riservati come progetti o cartelle cliniche. Aggiorna e applica regolarmente patch a tutto il software, specialmente ai sistemi esposti al pubblico, per ridurre il rischio di sfruttamento. Inoltre, implementa una soluzione come Barracuda Managed XDR che possa identificare comportamenti sospetti come movimenti laterali o accessi non autorizzati ai dati. Questo aiuterà a fermare minacce come Anubis durante la fase pre-crittografia.
È anche importante formare i dipendenti a riconoscere i tentativi di phishing. Gli affiliati di Anubis e molti altri attori di minacce non correlati utilizzano phishing e ingegneria sociale per compromettere le reti. Implementare l'autenticazione multifattoriale (MFA) su tutti i sistemi critici, specialmente per l'accesso remoto, gli account amministrativi e le VPN. Per difendersi specificamente dall'estorsione di dati, crittografare proattivamente i file sensibili e mantenere backup immutabili e disconnessi che vengono testati regolarmente per il recupero. Infine, monitorare il dark web e i forum di ransomware per indicatori precoci di attività di minaccia relative al vostro settore e avere un piano di incident response ben collaudato per reagire rapidamente se diventate un bersaglio. Potrebbe essere utile contattare un consulente o un provider di servizi gestiti per assistervi nelle vostre implementazioni di sicurezza.
Barracuda può aiutarvi
BarracudaONE è una piattaforma di cybersecurity completa basata su IA che massimizza la tua protezione e resilienza informatica unificando le tue soluzioni di cybersecurity in una dashboard centralizzata. Questa soluzione completa protegge la tua e-mail, i dati, le applicazioni e le reti, ed è rafforzata da un servizio XDR gestito 24/7. Visita il nostro sito web per programmare una demo e vedere come funziona.
Iscriviti al blog di Barracuda.
Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.
