Malware Anubis RaaS: la minaccia a doppio taglio nel mondo della criminalità informatica
Table of Contents
Una diversa specie di minaccia digitale
Un ceppo di ransomware noto come Anubis sta facendo scalpore nel panorama della sicurezza informatica per la sua rara e pericolosa combinazione di funzionalità di crittografia e distruzione dei file. A differenza dei ransomware convenzionali che in genere crittografano i dati e richiedono un riscatto per il loro rilascio, Anubis introduce anche una modalità che cancella irreversibilmente i dati, senza lasciare alcuna possibilità di recupero, anche se le vittime decidono di pagare.
Rilevato per la prima volta nel dicembre 2024, Anubis ha già mietuto vittime in settori diversi come sanità, ospitalità ed edilizia. Sono stati segnalati obiettivi in paesi come Stati Uniti, Canada, Australia e Perù. Questo ampio spettro di vittime evidenzia la natura opportunistica e la portata globale del malware.
Ciò che distingue Anubi
Anubis opera secondo un modello di ransomware-as-a-service (RaaS), consentendo a diversi attori, o "affiliati", di utilizzare il malware in cambio di una parte dei profitti. Ciò che rende questa operazione particolarmente degna di nota è la sua flessibilità. Agli affiliati vengono offerte opzioni personalizzabili di condivisione dei ricavi: l'80% per il pagamento del riscatto, il 60% per le estorsioni di dati e una ripartizione 50-50 per la vendita dell'accesso ai sistemi compromessi.
La doppia minaccia del malware si manifesta tramite uno specifico parametro della riga di comando, WIPEMODE , che consente agli aggressori di cancellare definitivamente i file. Questo processo rende i file inutilizzabili riducendone le dimensioni a 0 kilobyte, pur mantenendo nomi ed estensioni originali e creando l'illusione di file intatti. Questa tattica aumenta la pressione sulle vittime, rendendole più propense ad accettare rapidamente le richieste di riscatto nella speranza di recuperare dati già persi.
Sofisticazione senza connessioni
Nonostante condivida il nome con precedenti ceppi di malware e strumenti, tra cui un trojan bancario per Android e una backdoor basata su Python associata al famigerato gruppo FIN7 , questa variante di Anubis sembra essere completamente estranea a tali minacce. Rappresenta piuttosto un'operazione autonoma, probabilmente sviluppata in modo indipendente, con l'obiettivo di massimizzare l'impatto attraverso la furtività e la persistenza.
Le prime indagini suggeriscono che il malware fosse originariamente denominato Sphinx durante le prime fasi di test, per poi essere rinominato Anubis in vista della distribuzione pubblica. Gli sviluppatori sembrano aver deliberatamente preso le distanze da precedenti malware con lo stesso nome, probabilmente per evitare confusione o attribuzioni.
Metodi di consegna e catena di attacco
Anubis si infiltra tipicamente nei sistemi tramite email di phishing, un punto di ingresso comune in molti attacchi informatici moderni. Una volta all'interno di una rete, gli autori del malware agiscono rapidamente: aumentando i privilegi degli utenti, esaminando il sistema ed eliminando le copie shadow del volume (il meccanismo di backup dei file integrato in Windows) prima di procedere alla crittografia o alla cancellazione dei dati.
Questi passaggi coordinati illustrano un approccio calcolato, concepito non solo per rubare o bloccare i dati, ma anche per eliminare le reti di sicurezza, rendendo difficile la riparazione e aumentando ulteriormente la pressione sulle vittime affinché negozino.
Implicazioni più ampie per aziende e individui
L'emergere di ceppi di ransomware come Anubis segnala un'evoluzione preoccupante nella criminalità informatica. La combinazione di crittografia dei dati e distruzione irreversibile fa sì che le organizzazioni non possano più dare per scontato che pagare un riscatto garantisca il recupero dei dati. Ciò sottolinea inoltre la necessità di strategie di backup più solide, difese di sicurezza informatica multilivello e una migliore formazione dei dipendenti sulla sensibilizzazione al phishing.
L'uso delle piattaforme RaaS complica ulteriormente la situazione, poiché consente anche ad attori poco qualificati di partecipare ad attacchi sofisticati, ampliando notevolmente la gamma di potenziali minacce.
Un appello urgente alla preparazione
Sebbene Anubis sembri attualmente limitato a specifici settori e aree geografiche, le sue caratteristiche suggeriscono che potrebbe diffondersi più ampiamente se non controllato. Il modello RaaS, con la sua generosa condivisione dei ricavi e le opzioni di distribuzione personalizzabili, lo rende uno strumento interessante per potenziali aggressori in tutto il mondo.
Questo sviluppo è un monito tempestivo per le organizzazioni, che devono rivedere le proprie policy di sicurezza informatica, investire in strumenti di rilevamento e, soprattutto, mantenere backup offline sicuri dei dati critici. In un ambiente in cui le minacce digitali continuano a evolversi, la preparazione non è solo una buona pratica, è una necessità.
Considerazioni finali
Anubis rappresenta un cambiamento nella strategia del ransomware, in cui l'estorsione non è più l'unico obiettivo: la distruzione gioca ora un ruolo centrale. Con l'evoluzione delle tattiche dei criminali informatici, devono evolversi anche le nostre difese. Rimanere informati, attenti e proattivi sarà essenziale per affrontare questo nuovo capitolo nel panorama della sicurezza informatica in continua evoluzione.
