Il ransomware Anubis rappresenta una nuova e pericolosa minaccia nel panorama della sicurezza informatica mondiale. Questo malware, emerso alla fine del 2024, si distingue per una caratteristica particolarmente distruttiva: non solo cripta i file delle vittime, ma è anche dotato di una modalità wipe che consente di cancellarli in modo permanente, rendendo impossibile il recupero dei dati anche dopo il pagamento del riscatto. Questa doppia funzione, rara nel mondo dei ransomware, aumenta notevolmente la pressione sulle vittime, costrette a scegliere tra la perdita totale dei dati e il pagamento di somme esorbitanti senza alcuna garanzia di ripristino.

Anubis come Ransomware-as-a-Service

Anubis opera come ransomware-as-a-service (RaaS) e si è rapidamente diffuso colpendo settori critici come sanità, ospitalità e costruzioni in paesi come Australia, Canada, Perù e Stati Uniti. Il modello di affiliazione adottato offre agli affiliati una suddivisione degli introiti che può arrivare fino all'80% dei riscatti pagati, favorendo così la proliferazione di nuovi attacchi. Il malware supporta inoltre altre forme di monetizzazione, come l'estorsione dei dati e la vendita di accessi compromessi, con diverse percentuali di suddivisione dei profitti.

Fasi dell’attacco di Anubis

Gli attacchi di Anubis iniziano solitamente con email di phishing, che servono a ottenere il primo accesso ai sistemi delle vittime. Dopo aver compromesso una macchina, gli attaccanti cercano di aumentare i propri privilegi, fare ricognizione della rete e cancellare le copie shadow dei volumi, rendendo ancora più difficile un eventuale recupero. Quando la funzione wipe viene attivata, i file vengono ridotti a 0 KB, mantenendo solo il nome o l'estensione, ma eliminando completamente il contenuto.

Implicazioni e unicità della minaccia

Questa strategia spietata eleva il livello di rischio per le organizzazioni, che si trovano davanti a un dilemma senza soluzione: anche pagando, i file potrebbero essere stati già distrutti, lasciando l'azienda senza alcuna possibilità di recupero. Anubis si differenzia inoltre da altri malware omonimi già noti, come certi trojan Android e backdoor Python, confermando che si tratta di una minaccia indipendente e con proprie dinamiche.

Evoluzione delle minacce e raccomandazioni

La scoperta di Anubis coincide con un'intensificazione delle attività di gruppi criminali come FIN7, che adottano tecniche sempre più sofisticate per distribuire malware tramite siti fake e aggiornamenti fraudolenti. Questa evoluzione sottolinea l'urgenza di rafforzare le difese contro phishing, ransomware e nuove varianti di wiper, adottando strategie di prevenzione, risposta rapida e backup offline.