Il ransomware Anubis rappresenta una nuova e pericolosa minaccia nel panorama della sicurezza informatica mondiale. Questo malware, emerso alla fine del 2024, si distingue per una caratteristica particolarmente distruttiva: non solo cripta i file delle vittime, ma è anche dotato di una modalità wipe che consente di cancellarli in modo permanente, rendendo impossibile il recupero dei dati anche dopo il pagamento del riscatto.
Anubis come Ransomware-as-a-Service
Anubis opera come ransomware-as-a-service (RaaS) e si è rapidamente diffuso colpendo settori critici come sanità, ospitalità e costruzioni in paesi come Australia, Canada, Perù e Stati Uniti. Il modello di affiliazione adottato offre agli affiliati una suddivisione degli introiti che può arrivare fino all'80% dei riscatti pagati, favorendo così la proliferazione di nuovi attacchi. Il malware supporta inoltre altre forme di monetizzazione, come l'estorsione dei dati e la vendita di accessi compromessi, con diverse percentuali di suddivisione dei profitti.
Fasi dell’attacco di Anubis
Gli attacchi di Anubis iniziano solitamente con email di phishing, che servono a ottenere il primo accesso ai sistemi delle vittime. Dopo aver compromesso una macchina, gli attaccanti cercano di aumentare i propri privilegi, fare ricognizione della rete e cancellare le copie shadow dei volumi, rendendo ancora più difficile un eventuale recupero. Quando la funzione wipe viene attivata, i file vengono ridotti a 0 KB, mantenendo solo il nome o l'estensione, ma eliminando completamente il contenuto.
Implicazioni e unicità della minaccia
Questa strategia spietata eleva il livello di rischio per le organizzazioni, che si trovano davanti a un dilemma senza soluzione: anche pagando, i file potrebbero essere stati già distrutti, lasciando l'azienda senza alcuna possibilità di recupero. Anubis si differenzia inoltre da altri malware omonimi già noti, come certi trojan Android e backdoor Python, confermando che si tratta di una minaccia indipendente e con proprie dinamiche.
Evoluzione delle minacce e raccomandazioni
La scoperta di Anubis coincide con un'intensificazione delle attività di gruppi criminali come FIN7, che adottano tecniche sempre più sofisticate per distribuire malware tramite siti fake e aggiornamenti fraudolenti. Questa evoluzione sottolinea l'urgenza di rafforzare le difese contro phishing, ransomware e nuove varianti di wiper, adottando strategie di prevenzione, risposta rapida e backup offline.