Anubis 2.0: Ransomware-ul care nu mai iartă, nici după plată
O nouă versiune a periculosului ransomware Anubis aduce o funcție devastatoare: un modul „wiper” care distruge complet fișierele, chiar și după ce sunt criptate, făcând orice tentativă de recuperare imposibilă.
Anubis, un nume deja cunoscut în lumea amenințărilor cibernetice, face acum un salt periculos. Nu este vorba despre infamul malware Android cu același nume, ci despre un ransomware-as-a-service (RaaS) lansat inițial în decembrie 2024. Deși relativ nou, Anubis a atras atenția cercetătorilor în securitate cibernetică, iar în 2025 activitatea sa a crescut considerabil, culminând cu o evoluție extrem de periculoasă: integrarea unui modul wiper.
Potrivit unui raport publicat recent de Trend Micro, noile versiuni ale ransomware-ului includ o funcționalitate care depășește cu mult metodele obișnuite de șantaj digital. Dacă până acum fișierele erau doar criptate și puteau fi teoretic recuperate după plata unei răscumpărări, acum ele pot fi complet distruse printr-o comandă specială denumită “WIPEMODE”. Activarea acesteia elimină definitiv conținutul fișierelor, reducându-le dimensiunea la 0 KB, în timp ce structura directoarelor și denumirile fișierelor rămân intacte – o iluzie dureroasă pentru victime.
WipeMode: ultima presiune asupra victimelor
Această nouă tactică are un scop clar: creșterea presiunii asupra victimelor. Prin imposibilitatea de a recupera datele nici măcar după plata răscumpărării, atacatorii mizează pe frică și panică pentru a forța reacții rapide din partea companiilor afectate. „Comportamentul distructiv al Anubis nu doar că elimină posibilitatea de recuperare, dar adaugă un nivel de disperare în negocierile deja tensionate,” se arată în raportul Trend Micro.
Activarea modulului WIPEMODE se face prin linia de comandă și necesită o autentificare cu cheie – un semn că dezvoltatorii Anubis tratează cu seriozitate controlul asupra acestor funcții. După activare, fișierele devin ireversibil compromise, ceea ce transformă acest ransomware dintr-un instrument de extorcare într-o unealtă de sabotaj cibernetic pur.
În plus, Anubis păstrează o gamă largă de comenzi care pot fi lansate la execuție: ridicarea privilegiilor, excluderea anumitor directoare (pentru a păstra funcționarea sistemului și a permite afișarea mesajului de răscumpărare), specificarea țintelor pentru criptare etc. Ransomware-ul folosește schema de criptare ECIES (Elliptic Curve Integrated Encryption Scheme), iar cercetătorii au remarcat similitudini în implementare cu alte variante cunoscute ca EvilByte și Prince.
Cum funcționează atacul și cine este în vizor?
Anubis se răspândește, ca multe alte amenințări similare, prin phishing – e-mailuri înșelătoare care conțin linkuri sau atașamente malițioase. Odată deschis fișierul, malware-ul intră în acțiune: elimină Volume Shadow Copies (copii de siguranță ale fișierelor sistemului), închide procese critice pentru a evita întreruperi în criptare și lasă un fișier HTML cu nota de răscumpărare în directoarele afectate. Tentativa de a modifica fundalul desktop-ului nu a avut însă succes în mostrele analizate de Trend Micro.
Fișierele criptate sunt marcate cu extensia „.anubis”, iar în lipsa unei plăți, victimele sunt încurajate să contacteze atacatorii printr-o adresă furnizată în nota de răscumpărare. Până în prezent, pagina de extorcare Anubis de pe dark web listează doar opt victime, dar cercetătorii avertizează că acest număr ar putea crește rapid pe măsură ce „încrederea tehnică” în ransomware se consolidează și rețeaua de afiliați se extinde.
În februarie 2025, operatorii Anubis și-au lansat oficial programul de afiliere pe forumul RAMP, promițând comisioane generoase: 80% pentru atacatorii direcți, 60% pentru cei care se ocupă cu șantajul datelor și 50% pentru brokerii de acces inițial. Cu asemenea stimulente financiare, ecosistemul Anubis este pregătit pentru o expansiune agresivă.
Ce înseamnă asta pentru companii și utilizatori?
Noua versiune Anubis marchează o escaladare alarmantă în peisajul amenințărilor cibernetice. Dacă până acum plata răscumpărării oferea, în teorie, o cale de ieșire, acum nu mai există nicio garanție. Odată activat WIPEMODE, datele sunt pierdute pentru totdeauna – indiferent dacă plata se face sau nu.
Acest comportament distructiv ridică întrebări serioase despre valoarea plății unei răscumpărări și pune accentul pe prevenție, backup-uri externe și educarea utilizatorilor. Organizațiile trebuie să își reevalueze protocoalele de securitate, să își testeze planurile de răspuns la incidente și să trateze fiecare e-mail suspect cu cel mai mare grad de vigilență.
Într-o lume în care ransomware-ul devine tot mai nemilos, Anubis este un semnal de alarmă: nu mai este vorba doar de bani, ci de distrugere intenționată. Iar când un atacator este dispus să distrugă totul fără nicio garanție de recompensă, răspunsul nostru trebuie să fie mai rapid, mai ferm și mai bine pregătit ca niciodată.