Anubis Ransomware cilja Windows, Linux, NAS i ESXi

AUTOR ·

Anubis Ransomware je zlonamjerni ucjenjivači softver (eng. ransomware), koja se u posljednje vrijeme značajno ističe. Pažljivije ispitivanje njegovog načina funkcionisanja od strane sigurnosnih istraživača kompanije Kela otkriva sofisticirani pristup sajber kriminalu koji je, sa podjelom prihoda koja favorizuje saradnike (eng. affiliates) i posrednike za pristup (eng. access brokers), izgleda strukturiran za maksimalan profit.

Anubis Ransomware

Anubis Ransomware cilja Windows, Linux, NAS i ESXi; Source: Bing Image Creator

ANUBIS RANSOMWARE

Anubis Ransomware grupa je relativno nova prijetnja u digitalnom okruženju, koja se prvi put pojavila oko novembra 2024. godine. Njen nastanak obilježen je jedinstvenim pristupom za napade zasnovane na ucjeni, što ih izdvaja od drugih tradicionalnih grupa koje rade po modelu ucjenjivački softver kao usluga (eng. ransomware-as-a-service – RaaS) koje se fokusiraju na šifrovanje datoteka žrtava. Anubis Ransomware mogućnosti uključuju uslugu iznuđivanja nakon eksfiltracije, gdje koriste prednosti sve veće prakse iznuđivanja novca bez šifrovanja datoteka. Oni takođe koriste CryptPad tabele da dokumentuju napredak napada za saradnike.

Njihov način rada uključuje dobijanje pristupa sistemu žrtve ili osjetljivim podacima preko saradnika, a zatim objavljivanje istražnog članka o kompaniji na blogu ovog zlonamjernog aktera, kao i platformama društvenih medija kao što je X (Twitter), preteći žrtvama dijeljenjem linkova za preuzimanje ukradenih podataka ako pregovori ne uspiju.

 

Početna faza napada

Anubis Ransomware početna faza napada počinje sa kompromitovanim akreditivima ili phishing kampanjama koje zlonamjernim akterima daju početni pristup mreži. Ovo se često postiže taktikama društvenog inženjeringa, gdje su žrtve prevarene da odaju osjetljive informacije kao što su akreditivi za prijavu ili drugi lični detalji. Kada uđu, zlonamjerni akteri koriste ovaj stečeni pristup za implementaciju daljeg zlonamjernog softvera i eskalaciju privilegija.

Poznato je da Anubis Ransomware operateri koriste niz tehnika za kompromitovanje početnog pristupa mreži, uključujući phishing kampanje koje ciljaju određene pojedince unutar organizacije. Ovi ciljani napadi često uključuju prilagođene poruke elektronske pošte koje izgledaju kao da potiču iz legitimnih izvora, ali su zapravo dizajnirane da prevare primaoca da otkrije osjetljive informacije ili klikne na zlonamjerne veze. U nekim slučajevima, Anubis Ransomware operateri su takođe poznati po tome da koriste kompromitovane akreditive dobijene prethodnim napadima ili drugim sredstvima da bi dobili početni pristup.

Kada uđu u mrežu organizacije, zlonamjerni akteri će obično početi da mapiraju internu infrastrukturu i identifikuju ključne mete za dalju eksploataciju. Ovo može uključivati korišćenje raznih legitimnih alata za skeniranje otvorenih portova i servisa koji se mogu eksploatisati, kao i prikupljanje informacija o bezbjednosnim kontrolama i procedurama organizacije.

 

Primjena šifrovanja

Kada se dobije početni pristup mreži, Anubis Ransomware operateri će obično primijeniti ChaCha+ECIES algoritam za šifrovanje kako bi zaključali kritične datoteke na inficiranim sistemima. Ovo se često postiže korišćenjem prilagođenog korisnog tereta (eng. payload) za isporuku ucjenjivačkog softvera koji koristi napredne algoritme za šifrovanje kako bi podatke učinio nedostupnim bez ključa za dešifrovanje. Primjena ovog algoritma za šifrovanje može se koristiti kao poluga od strane zlonamjernog aktera da iznude plaćanje od žrtava, uz prijetnju trajnog gubitka podataka ako se otkupnina ne plati.

Poznato je da Anubis Ransomware operateri koriste niz tehnika za primjenu ChaCha+ECIES algoritma za šifrovanje na inficiranim sistemima, uključujući korišćenje prilagođenog korisnog tereta za isporuku ucjenjivačkog softvera koji se prilagođava okruženju žrtve. Ovi korisni tereti mogu biti dizajnirani da izbjegnu otkrivanje od strane bezbjednosnog softvera i često se mogu širiti bočno kroz umrežene sisteme preko alata kao što su PsExec ili Windows Management Instrumentation – WMI. U nekim slučajevima, Anubis Ransomware operateri su takođe poznati po tome što koriste modularni teret koji im omogućava da prilagode napad na osnovu specifičnih okruženja žrtve.

Primjena ChaCha+ECIES algoritma za šifrovanje je ključna komponenta Anubis Ransomware napada i često se može koristiti kao prijetnja od trajnog gubitka podataka ako se otkupnina ne plati, što može imati značajne posljedice po reputaciju organizacija.

 

Upotreba dvostruke iznude

Anubis Ransomware operateri takođe koriste taktiku poznatu kao dvostruka iznuda (eng. double extortion), koja uključuje i šifrovanje kritičnih datoteka i eksfiltraciju osjetljivih podataka iz inficiranih sistema. Ovaj dvostruki pristup osigurava da se žrtve suočavaju sa operativnom paralizom i narušavanjem reputacije ako otkupnina ostane neplaćena, što povećava vjerovatnoću da će platiti traženu sumu.

Upotreba dvostruke iznude je obilježje Anubis Ransomware napada i često se može koristiti kao poluga od strane zlonamjernog aktera da iznude plaćanje od žrtava. Prijetnja od trajnog gubitka podataka ako se otkupnina ne plati, u kombinaciji sa narušavanjem reputacije koja je rezultat javnog izlaganja osjetljivih informacija, naglašava da je od suštinskog značaja da organizacije preduzmu korake da spriječe ovakve napade.

 

Upotreba modularnog korisnog tereta

Već je napomenuto da Anubis Ransomware operateri koriste modularni korisni teret kao dio svoje metodologije napada. Ovi prilagođeni sadržaji zlonamjernog softvera mogu biti dizajnirani posebno za određeno okruženje žrtve i mogu uključivati funkcije kao što su AES-256 algoritam za šifrovanje, mogućnosti eksfiltracije podataka ili alati za bočno kretanje kao što je PsExec.

Modularni korisni tereti nude Anubis Ransomware operaterima fleksibilnost da prilagode napade na osnovu specifičnih okruženja žrtve. Korišćenjem modularnog korisnog tereta koji se prilagođava različitim sistemima i mrežama, zlonamjerni akteri mogu povećati svoje šanse za uspeh ciljanjem ranjivosti u određenom okruženju umjesto da se oslanjaju samo na generičke korisne sadržaje zlonamjernog softvera. Upotreba modularnog tereta je takođe korisna za Anubis Ransomware operatere, jer im omogućava da budu ispred bezbjednosnog softvera dizajniranog da otkrije određene vrste zlonamjernog softvera. Konstantnim ažuriranjem i izmjenama dizajna korisnog tereta, oni su u stanju da efikasnije izbjegnu otkrivanje i zadrže prednost u scenariju napada.

 

Višeplatformske mogućnosti

Jedan od najznačajnijih izazova koje postavlja Anubis Ransomware su njegove mogućnosti funkcionisanja na više platformi, koje ga izdvajaju od drugih varijanti koje su se tradicionalno fokusirale samo na Windows okruženja. Nasuprot tome, ovaj zlonamjerni ucjenjivački softver je proširio svoju površinu napada tako da uključi Linux sisteme, NAS uređaje i ESXi servere.

Ova promjena u taktici znači da se administratori u organizacijama sada moraju boriti sa složenijim okruženjem prijetnji, pošto su Anubis Ransomware programeri obezbijedili da njihov zlonamjerni softver može da iskoristi ranjivosti u različitim okruženjima. Implikacije ovoga su dalekosežne, jer povećava vjerovatnoću uspješnih napada i otežava otkrivanje incidenata i reagovanje na njih. Pored toga, činjenica da ovaj zlonamjerni ucjenjivački softver cilja na više platformi znači da organizacije sada moraju da razmotre širi spektar potencijalnih ulaznih tačaka za zlonamjerne aktere.

 

Poslovni modeli

Krajem februara 2025. godine Anubis Ransomware zlonamjerni akteri su oglasili novi format saradničkih programa na forumu za sajber kriminal Russian Anonymous Market Place – RAMP. Ovaj potez je označio značajan pomak u načinu na koji grupe ucjenjivačkog softvera rade i komuniciraju sa svojim saradnicima.

Objava je istakla evoluirajuću prirodu modernih zlonamjernih aktera u iznuđivanju. Nudeći fleksibilne strukture podjele prihoda koje su otvorene za dugoročnu saradnju, Anubis Ransomware zlonamjerni akteri su pokazali svoju spremnost da se prilagode i inoviraju u digitalnom okruženju sajber kriminala. Ovaj pristup ne samo da je privukao potencijalne nove članove, već je i naglasio posvećenost grupe pružanju unosnih prilika za saradnike.

Sama struktura ovog novog formata je vjerovatno namijenjena iskusnim zlonamjernim akterima koji su ranije radili sa drugim grupama ucjenjivačkog softvera ili su se bavili iznuđivanjem podataka i srodnim aktivnostima. Nudeći fleksibilne strukture za podjelu prihoda, Anubis Ransomware vjerovatno želi da stvori atraktivan prijedlog koji bi ove pojedince privukao u svoje krilo.

 

Model 80/20

Ovaj model nudi klasičan Anubis Ransomware zlonamjerni softver sa impresivnih 80% udjela za saradnike. Ovo je jedna od najunosnijih opcija dostupnih na mračnom internetu. Karakteristike koje je Anubis Ransomware naveo su prilično detaljne i sugerišu da je njihova platforma dizajnirana da služi posebno zlonamjernim akterima koji žele da unovče ukradene podatke.

Operateri Anubis Ransomware zlonamjernog softvera su naveli da je sam ucjenjivački softver sofisticiran alat, sposoban da cilja različite operativne sisteme uključujući Windows, Linux, NAS i ESXi x32/x64 okruženja. Ističu da je značajna karakteristika njegova sposobnost da podigne privilegije na NT AUTHORITY\SYSTEM, što bi mu omogućilo da stekne potpunu kontrolu nad ciljanim sistemom. Pored toga, operateri Anubis Ransomware zlonamjernog softvera tvrde da njihov ucjenjivački softver ima sposobnost samoproširenja kroz domene, što ga čini potencijalno destruktivnijim od drugih varijanti.

Takođe se spominje veb panel, što sugeriše korisničko okruženje koji je jednostavno za korišćenje saradnicima, preko kojeg mogu da upravljaju i nadgledaju svoje napade daljinski. Ovaj nivo pogodnosti je vjerovatno dizajniran da privuče nove korisnike koji možda nemaju veliko iskustvo sa sličnim alatima, ali su željni da se pridruže unosnom modelu ucjenjivački softver kao usluga (RaaS). Iako Anubis Ransomware operateri pružaju neke detalje o svojoj platformi, jasno je da su selektivni u pogledu informacija koje javno djele.

 

Model 60/40

Saradnički program Anubis Data Ransom nudi zlonamjernim akterima 60% udjela u prihodu za svaku uspješnu operaciju. Da bi se saradnik kvalifikovao za ovaj saradnički program, napadnuta kompanija mora da ispuni posebne uslove: ugrožavanje mora biti ekskluzivno (bez prethodne objave na javnom ili mračnom internetu), nedavno (manje od šest mjeseci od kada Anubis Ransomware operateri dobiju pristup podacima) i sadržaj Anubis Ransomware operateri moraju smatrati “interesantnim za objavljivanje”.

Kao dodatak ovom modelu, operateri ovog ucjenjivačkog softvera nude jedinstvenu uslugu koja uključuje pisanje istraživačkog članka zasnovanog na ukradenim datotekama. Ovaj sadržaj se objavljuje u skrivenom režimu na njihovom blogu, ali ostaje zaštićen lozinkom. Pored toga, Anubis Ransomware operateri primjenjuju taktiku pritiska na kompanije žrtve tako što im prijete da će javno izložiti osjetljive informacije i obavijestiti relevantne organe kao što su GDPR, CCPA, DCIA, NDB i drugi.

Ovaj pristup omogućava Anubis Ransomware grupi da unovči osjetljive podatke, a istovremeno pojačava uticaj kroz istraživačke članke i ciljane prijetnje, što je ističe i čini posebnom u domenu sajber kriminala.

 

Model 50/50

Ovaj partnerski program je posebno dizajniran za posrednike za pristup koji Anubis Ransomware grupi mogu ponuditi akreditive za korporativni pristup. Anubis Ransomware operateri plaćaju posrednicima za pristup 50% naknadnog prihoda preko njihovog saradničkog programa. Proces uključuje duboko proučavanje podataka o meti i razumijevanje kompanije žrtve kako bi se identifikovale potencijalne tačke ranjivosti koje se mogu iskoristiti tokom pokušaja iznude. Detaljni izvještaji se zatim djele sa saradnicima, dokumentujući dešavanja uživo tokom napredovanja napada.

Da bi se kvalifikovali za ovaj program, zemlje ili regioni koji će biti mete napada moraju biti unutar geografskih područja SAD, Evrope, Kanade ili Australije i ne bi trebalo da bude prethodnih napada drugih grupa ucjenjivačkog softvera u prošloj godini. Entiteti u okviru obrazovnog, vladinog ili neprofitnog sektora su isključeni iz učešća kao posrednici za pristup.

 

Uticaj

Anubis Ransomware zlonamjerni softver se izdvaja od ostalih varijanti ciljajući više platformi istovremeno, uključujući Linux sisteme, NAS uređaje i ESXi servere, što je značajno odstupanje od tradicionalnog fokusa na Windows okruženja. Kao takav, dramatično proširuje pejzaž prijetnji za organizacije koje koriste različite operativne sisteme.

Mogućnosti Anubis Ransomware zlonamjernog softvera na više platformi predstavljaju dodatni izazov za administratore, jer otvaraju više puteva zlonamjernim akterima da uđu u mreže, predstavljajući prijetnju ne samo pojedinačnim uređajima već i čitavoj infrastrukturi. Činjenica da ovaj ucjenjivački zlonamjerni softver može da iskoristi ranjivosti u različitim okruženjima čini efikasne rutine ispravki neophodnim za sprečavanje njegovog uspostavljanja na ranjivim sistemima.

Uticaj Anubis Ransomware zlonamjernog softvera je višestruk i dalekosežan. Ne samo da predstavlja direktnu prijetnju bezbjednosti i integritetu ciljanih sistema, već i stvara okruženje u kojem su zlonamjerni akteri podstaknuti unosnim saradničkim programima koji nude visok udio u prihodu uz finansijske nagrade za uspješne napade. Ova dinamika zahtjeva razumijevanje složenih taktika ove kampanje ključnim za smanjenje šansi da organizacije i korisnici postanu plijen Anubis Ransomware zlonamjernog softvera.

 

ZAKLJUČAK

Anubis Ransomware saradnički programi predstavljaju značajnu prijetnju organizacijama širom svijeta zbog svojih novih modela ucjenjivačkog softvera kao usluge (RaaS) i višeplatformskih mogućnosti. Struktura udjela u prihodu Anubis Ransomware saradničkih programa je posebno zabrinjavajuća, jer pruža saradnicima značajan podsticaj da se uključe u zlonamjerne aktivnosti, stvarajući izazovno okruženje za žrtve da se oporave od napada bez plaćanja zahteva za otkupninu.

Pejzaž prijetnji se značajno proširio zahvaljujući Anubis Ransomware mogućnostima na više platformi, koje sada uključuju Windows, Linux, NAS i ESXi x32/x64 okruženja. Ovo predstavlja značajne izazove za administratore koji se moraju boriti sa širom površinom napada koja uključuje više operativnih sistema. Ova promjena u taktici znači da se organizacije sada moraju boriti sa složenijim okruženjem prijetnji, pošto su zlonamjerni akteri obezbijedili da njihov zlonamjerni softver može da iskoristi ranjivosti u različitim okruženjima.

Pored toga, upotreba prijetnji izlaganja javnosti od strane Anubis Ransomware operatera dodatno komplikuje stvari za žrtve, zbog čega je od suštinskog značaja za organizacije da sprovode robusne mjere sajber bezbjednosti kako bi spriječile uspješna ugrožavanja podataka. Redovne rezervne kopije podataka koje se čuvaju van mreže su takođe ključne za sprečavanje gubitka podataka tokom napada. Na kraju krajeva, razumijevanje razvoja ove prijetnje je od vitalnog značaja za njeno ublažavanje i zaštitu mreža od napada poput onih koje vrše Anubis Ransomware saradnici motivisani poslovnim modelom ovog ucjenjivačkog zlonamjernog softvera.

 

ZAŠTITA

Evo nekoliko preporuka o tome kako se zaštiti od Anubis Ransomware zlonamjernog ucjenjivačkog softvera:

  1. Da bi se drastično smanjio rizik od napada Anubis Ransomware zlonamjernog ucjenjivačkog softvera, neophodno je primijeniti prakse nadgledanja i šifrovanja u svim sistemima i na svim podacima. Ovo uključuje redovno skeniranje u potrazi za zlonamjernim softverom, korišćenje renomiranih antivirusnih softvera i osiguravanje da su sve bezbjednosne ispravke primijenjene. Pored toga, šifrovanje osjetljivih podataka i u tranzitu i u mirovanju može spriječiti neovlašteni pristup zlonamjernom akteru;
  2. Obuka zaposlenih je ključni aspekt zaštite od Anubis Ransomware Obrazovanje zaposlenih o opasnostima phishing poruka elektronske pošte, sumnjivih veza i priloga može pomoći u sprečavanju početnih infekcija. Trebalo bi sprovoditi redovne kampanje podizanja svesti o bezbjednosti kako bi se osiguralo da su svi članovi osoblja svjesni rizika povezanih sa klikom na nepoznate datoteke ili rizika povezanih sa posjetom na nepouzdane internet lokacije;
  3. Postavljanje efikasnog plana odgovora na sajber prijetnju je od vitalnog značaja za ublažavanje napada Anubis Ransomware zlonamjernog ucjenjivačkog softvera. Ovo uključuje postojanje jasne procedure za identifikaciju i obuzdavanje, kao i vraćanje sistema u njihovo prethodno stanje nakon što je napad obuzdan. Trebalo bi sprovoditi redovne vježbe kako bi se osiguralo da su svi članovi osoblja upoznati sa procesom reagovanja na incident;
  4. Da biste se zaštitili od napada Anubis Ransomware zlonamjernog ucjenjivačkog softvera, neophodno je usvojiti sveobuhvatne mjere bezbjednosti u svim sistemima i podacima. Ovo uključuje implementaciju robusnih kontrola pristupa, korišćenje bezbjednih protokola za komunikaciju i obezbjeđivanje da svi osjetljivi podaci budu pravilno čuvani. Trebalo bi sprovoditi redovne procjene ranjivosti kako bi se identifikovale potencijalne slabosti u sistemu;
  5. Usvajanje softvera za detekciju i odgovor na prijetnje (eng. endpoint detection and response – EDR) sposobnih da otkriju i ublaže ponašanje ucjenjivačkog softvera na svim platformama može pomoći u sprečavanju Anubis Ransomware napada da se razviju na ranjivim sistemima. Ova rješenja uključuju napredne mogućnosti otkrivanja prijetnji, analizu ponašanja i algoritme zasnovane na mašinskom učenju koji mogu da otkriju sumnjivu aktivnost pre nego što ona postane veliki problem;
  6. Redovno ažuriranje svih sistema kako bi se osiguralo da se ranjivosti brzo otklone je od suštinskog značaja za sprečavanje napada Anubis Ransomware zlonamjernog ucjenjivačkog softvera. Ovo uključuje održavanje softvera operativnog sistema ažurnim, kao i osiguranje da su sve aplikacije i dodaci ispravljeni u odnosu na poznate bezbjednosne propuste. Implementacija automatizovanih alata za upravljanje ispravkama može pomoći da se pojednostavi ovaj proces;
  7. Izvršiti segmentaciju mreže na izolovane zone kako bi se spriječilo širenje Anubis Ransomware zlonamjernog ucjenjivačkog softvera preko IT infrastrukture cijele organizacije. Implementirati zaštitne zidove, sisteme za otkrivanje upada i liste kontrole pristupa da bi se ograničila komunikacija između segmenata. Ovo će ograničiti štetu uzrokovanu napadom i olakšati je obuzdavanje i iskorjenjivanje;
  8. Implementacija praksi bezbjednog pravljenja rezervnih kopija u svim sistemima i za sve podatke je od vitalnog značaja za ublažavanje Anubis Ransomware. Ovo uključuje redovno pravljenje rezervnih kopija osjetljivih informacija na zasebnom, izolovanom sistemu skladištenja kome zlonamjerni akteri ne mogu pristupiti. Redovno testiranje rezervnih kopija osigurava da se može izvršiti oporavak u slučaju napada;
  9. Razumijevanje kako Anubis Ransomware funkcioniše kao dio modela ucjenjivačkog softvera kao usluge (RaaS) je od suštinskog značaja za zaštitu od napada. Ovo uključuje prepoznavanje da saradnici možda koriste poslovne modele za saradnike sa visokim prihodima za kupovinu i raspoređivanje Anubis Ransomware zlonamjernog ucjenjivačkog softvera u sopstvenim napadima, što otežava predviđanje prijetnji;
  10. Primjena naprednih mogućnosti otkrivanja prijetnji u svim sistemima može pomoći u sprečavanju napada Anubis Ransomware zlonamjernog ucjenjivačkog softvera i njegovog uspostavljanja na ranjivim sistemima. Ovo uključuje korišćenje algoritama zasnovanih na mašinskom učenju koji mogu da otkriju sumnjivu aktivnost pre nego što ona postane veliki problem, kao i analizu ponašanja i testiranje unutar izolovanih okruženja (eng. sandbox) da bi se identifikovale potencijalne prijetnje.

Primjenom ovih preporuka, organizacije mogu značajno da smanje svoju izloženost riziku od Anubis Ransomware napada i zaštite i sisteme i podatke od potencijalnih prijetnji.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.