Malware Anubis RaaS: La amenaza de doble filo en el submundo del cibercrimen
Table of Contents
Una especie diferente de amenaza digital
Una cepa de ransomware conocida como Anubis está causando sensación en el mundo de la ciberseguridad por su inusual y peligrosa combinación de funciones de cifrado y destrucción de archivos. A diferencia del ransomware convencional, que suele cifrar datos y exigir un rescate para su liberación, Anubis también introduce un modo que borra los datos irreversiblemente, sin posibilidad de recuperación, incluso si las víctimas deciden pagar.
Detectado por primera vez en diciembre de 2024, Anubis ya ha causado víctimas en sectores tan diversos como la sanidad, la hostelería y la construcción. Se han reportado objetivos en países como Estados Unidos, Canadá, Australia y Perú. Este amplio espectro de víctimas pone de manifiesto la naturaleza oportunista y el alcance global del malware.
Lo que distingue a Anubis
Anubis opera bajo un modelo de ransomware como servicio (RaaS), que permite a diferentes actores, o "afiliados", usar el malware a cambio de una parte de las ganancias. Lo más destacable de esta operación es su flexibilidad. A los afiliados se les ofrecen opciones personalizables de reparto de ingresos: 80% para el pago de rescates, 60% para extorsiones de datos y una distribución al 50% para la venta de acceso a sistemas comprometidos.
La capacidad de doble amenaza del malware se basa en un parámetro específico de la línea de comandos, WIPEMODE , que permite a los atacantes borrar archivos permanentemente. Este proceso inutiliza los archivos al reducirlos a 0 kilobytes, conservando los nombres y extensiones originales, creando la ilusión de archivos intactos. Esta táctica aumenta la presión sobre las víctimas, haciéndolas más propensas a acceder rápidamente a las exigencias de rescate con la esperanza de recuperar los datos ya perdidos.
Sofisticación sin conexiones
A pesar de compartir nombre con cepas y herramientas de malware anteriores —incluyendo un troyano bancario para Android y una puerta trasera basada en Python asociada al conocido grupo FIN7— , esta variante de Anubis parece no tener ninguna relación con dichas amenazas. En cambio, representa una operación independiente, probablemente desarrollada de forma independiente, centrada en maximizar el impacto mediante el sigilo y la persistencia.
Las investigaciones iniciales sugieren que el malware se denominó originalmente Sphinx durante las primeras fases de prueba, y posteriormente se renombró Anubis para su distribución pública. Los desarrolladores parecen distanciarse deliberadamente del malware anterior con el mismo nombre, posiblemente para evitar confusiones o atribuciones.
Métodos de entrega y cadena de ataque
Anubis suele infiltrarse en los sistemas mediante correos electrónicos de phishing, un punto de entrada común en muchos ciberataques modernos. Una vez dentro de la red, los operadores del malware actúan con rapidez: aumentan los privilegios de los usuarios, inspeccionan el sistema y eliminan las instantáneas de volumen (el mecanismo de copia de seguridad de archivos integrado en Windows) antes de proceder a cifrar o borrar los datos.
Estos pasos coordinados ilustran un enfoque calculado diseñado no sólo para robar o bloquear datos sino para eliminar las redes de seguridad, lo que dificulta la remediación y aumenta aún más la presión sobre las víctimas para que negocien.
Implicaciones más amplias para las empresas y los individuos
La aparición de cepas de ransomware como Anubis indica una preocupante evolución de la ciberdelincuencia. La combinación de cifrado de datos y destrucción irreversible significa que las organizaciones ya no pueden asumir que pagar un rescate garantizará la recuperación de datos. También subraya la necesidad de estrategias de respaldo más sólidas, defensas de ciberseguridad multicapa y una mejor capacitación sobre phishing entre los empleados.
El uso de plataformas RaaS complica aún más el panorama, ya que permite que incluso actores poco calificados participen en ataques sofisticados, ampliando significativamente el rango de amenazas potenciales.
Un llamado urgente a la preparación
Aunque Anubis actualmente parece estar limitado a industrias y regiones geográficas específicas, sus características sugieren que podría extenderse aún más si no se controla. El modelo RaaS, con su generoso reparto de ingresos y opciones de implementación personalizables, lo convierte en una herramienta atractiva para posibles atacantes de todo el mundo.
Este desarrollo es un recordatorio oportuno para que las organizaciones revisen sus políticas de ciberseguridad, inviertan en herramientas de detección y, lo más importante, mantengan copias de seguridad seguras y sin conexión de sus datos críticos. En un entorno donde las amenazas digitales siguen evolucionando, la preparación no es solo una buena práctica, sino una necesidad.
Reflexiones finales
Anubis representa un cambio en la estrategia del ransomware, donde la extorsión ya no es el único objetivo; la destrucción ahora juega un papel central. A medida que evolucionan las tácticas de los cibercriminales, también deben evolucionar nuestras defensas. Mantenerse informado, alerta y proactivo será esencial para navegar por este nuevo capítulo en el cambiante panorama de la ciberseguridad.
