Malware Anubis RaaS: A ameaça de dois gumes no submundo do crime cibernético
Table of Contents
Uma espécie diferente de ameaça digital
Uma variante de ransomware conhecida como Anubis está causando impacto no cenário da segurança cibernética por sua rara e perigosa combinação de funcionalidades de criptografia e destruição de arquivos. Ao contrário do ransomware convencional, que normalmente criptografa dados e exige um resgate para liberá-los, o Anubis também apresenta um modo que apaga os dados irreversivelmente, sem nenhuma chance de recuperação — mesmo que as vítimas decidam pagar.
Detectado pela primeira vez em dezembro de 2024, o Anubis já fez vítimas em setores tão diversos quanto saúde, hotelaria e construção civil. Já foram reportados alvos em países como Estados Unidos, Canadá, Austrália e Peru. Esse amplo espectro de vítimas destaca a natureza oportunista e o alcance global do malware.
O que diferencia Anubis
A Anubis opera sob um modelo de ransomware como serviço (RaaS), permitindo que diferentes agentes, ou "afiliados", usem o malware em troca de uma parte dos lucros. O que é particularmente notável nessa operação é sua flexibilidade. Os afiliados têm opções personalizáveis de compartilhamento de receita: 80% para pagamentos de resgate, 60% para esquemas de extorsão de dados e uma divisão de 50% para a venda de acesso aos sistemas comprometidos.
A capacidade de dupla ameaça do malware se dá por meio de um parâmetro específico de linha de comando — WIPEMODE — que permite aos invasores apagar arquivos permanentemente. Esse processo torna os arquivos inutilizáveis, reduzindo-os a 0 quilobytes, preservando os nomes e extensões originais, criando a ilusão de arquivos intactos. Essa tática aumenta a pressão sobre as vítimas, tornando-as mais propensas a atender rapidamente aos pedidos de resgate na esperança de recuperar dados já perdidos.
Sofisticação sem conexões
Apesar de compartilhar o mesmo nome com outras ameaças e ferramentas de malware anteriores — incluindo um trojan bancário para Android e um backdoor baseado em Python associado ao famoso grupo FIN7 —, essa variante do Anubis parece não ter nenhuma relação com essas ameaças. Em vez disso, representa uma operação autônoma, provavelmente desenvolvida de forma independente, com foco em maximizar o impacto por meio de furtividade e persistência.
Investigações iniciais sugerem que o malware foi originalmente chamado de Sphinx durante as fases iniciais de testes, posteriormente renomeado como Anubis para distribuição pública. Os desenvolvedores parecem estar se distanciando deliberadamente de malwares anteriores com o mesmo nome, possivelmente para evitar confusão ou atribuição.
Métodos de entrega e cadeia de ataque
O Anubis normalmente se infiltra em sistemas por meio de e-mails de phishing, um ponto de entrada comum em muitos ataques cibernéticos modernos. Uma vez dentro da rede, os operadores de malware agem rapidamente: aumentando os privilégios dos usuários, monitorando o sistema e excluindo cópias de sombra de volume — o mecanismo de backup de arquivos integrado do Windows — antes de prosseguir com a criptografia ou a limpeza dos dados.
Essas etapas coordenadas ilustram uma abordagem calculada, projetada não apenas para roubar ou bloquear dados, mas para eliminar redes de segurança, dificultando a correção e aumentando ainda mais a pressão sobre as vítimas para negociar.
Implicações mais amplas para empresas e indivíduos
O surgimento de variantes de ransomware como o Anubis sinaliza uma evolução preocupante no cibercrime. A combinação de criptografia de dados e destruição irreversível significa que as organizações não podem mais presumir que o pagamento de um resgate garantirá a recuperação dos dados. Isso também reforça a necessidade de estratégias de backup mais robustas, defesas de segurança cibernética em várias camadas e melhor treinamento de conscientização sobre phishing entre os funcionários.
O uso de plataformas RaaS complica ainda mais o cenário, pois permite que até mesmo agentes pouco qualificados participem de ataques sofisticados, ampliando significativamente o alcance de ameaças potenciais.
Um apelo urgente à preparação
Embora o Anubis pareça atualmente limitado a setores e regiões geográficas específicas, suas características sugerem que ele pode se espalhar mais amplamente se não for controlado. O modelo RaaS, com seu generoso compartilhamento de receita e opções de implantação personalizáveis, o torna uma ferramenta atraente para possíveis invasores em todo o mundo.
Este desenvolvimento é um lembrete oportuno para que as organizações revisem suas políticas de segurança cibernética, invistam em ferramentas de detecção e, principalmente, mantenham backups seguros e offline de dados críticos. Em um ambiente em que as ameaças digitais continuam a evoluir, a preparação não é apenas uma prática recomendada, é uma necessidade.
Considerações finais
O Anubis representa uma mudança na estratégia de ransomware, onde a extorsão não é mais o único objetivo — a destruição agora desempenha um papel central. À medida que as táticas dos cibercriminosos evoluem, nossas defesas também precisam evoluir. Manter-se informado, alerta e proativo será essencial para navegar neste novo capítulo no cenário da segurança cibernética em constante mudança.
