Anubis RaaS 惡意軟體：網路犯罪黑社會的雙面刃威脅

不同類型的數位威脅

一種名為Anubis的勒索軟體因其罕見且危險的加密和檔案銷毀功能組合，正在網路安全領域掀起波瀾。與通常加密資料並索取贖金的傳統勒索軟體不同，Anubis 還引入了一種不可逆擦除資料的模式，即使受害者決定支付贖金，也無法恢復資料。

Anubis 於 2024 年 12 月首次被發現，目前已在醫療保健、酒店和建築等多個行業造成受害者。美國、加拿大、澳洲和秘魯等國家均已報告其目標。如此廣泛的受害者群體凸顯了該惡意軟體的機會主義性質和全球範圍的攻擊範圍。

Anubis 的與眾不同之處

Anubis 採用勒索軟體即服務 (RaaS) 模式運營，允許不同的參與者（或「關聯方」）使用惡意軟體，並收取一定比例的利潤。此模式的一大亮點在於其靈活性。關聯方可自訂收益分成方案：支付贖金可獲得 80% 的分成，資料勒索方案可獲得 60% 的分成，而出售受感染系統存取權限則可獲得 50% 的分成。

該惡意軟體的雙重威脅能力源自於一個特定的命令列參數—WIPEMODE ，該參數允許攻擊者永久擦除檔案。此過程將檔案大小縮減至0KB，同時保留原始名稱和副檔名，使檔案無法使用，從而造成檔案完好的假象。這種策略會給受害者施加更大的壓力，使他們更有可能迅速滿足贖金要求，以期挽回已經遺失的資料。

無需連接，卻精巧

儘管與先前的惡意軟體病毒株和工具（包括一款安卓銀行木馬以及與臭名昭著的FIN7組織相關的基於Python的後門）同名，但這個Anubis變種似乎與這些威脅完全無關。相反，它代表著一個獨立的行動，很可能是獨立開發的，其重點是透過隱身和持久性來最大化影響。

初步調查顯示，該惡意軟體在早期測試階段最初名為Sphinx ，後來為了公開部署而更名為Anubis 。開發者似乎有意與先前同名的惡意軟體劃清界限，可能是為了避免混淆或避免歸屬問題。

傳遞方法和攻擊鏈

Anubis 通常透過釣魚郵件入侵系統，這是許多現代網路攻擊的常見入口。一旦進入網絡，惡意軟體操作員就會迅速行動：提升使用者權限、偵查系統、刪除卷影副本（Windows 的內建檔案備份機制），然後加密或擦除資料。

這些協調一致的步驟表明，他們採取了一種精心策劃的方法，其目的不僅在於竊取或鎖定數據，還在於消除安全網，使補救變得困難，並進一步加大受害者的談判壓力。

對企業和個人的更廣泛的影響

像Anubis這樣的勒索軟體的出現，預示著網路犯罪令人擔憂的演變。資料加密與不可逆破壞的結合意味著，企業不能再想當然地認為支付贖金就能保證資料恢復。這也凸顯了更強大的備份策略、多層網路安全防禦以及更好的員工網路釣魚意識培訓的必要性。

RaaS 平台的使用進一步使情況複雜化，因為它甚至使低技能的參與者也能參與複雜的攻擊，從而大大擴大潛在威脅的範圍。

緊急呼籲做好準備

雖然Anubis目前似乎僅限於特定行業和地理區域，但其特性表明，如果不加以控制，它可能會傳播得更廣。 RaaS模式，加上豐厚的收入分成和可自訂的部署選項，使其成為全球潛在攻擊者眼中極具吸引力的工具。

這項進展及時提醒各組織機構，需要重新檢視其網路安全政策，投資於偵測工具，最重要的是，維護關鍵資料的安全離線備份。在數位威脅不斷演變的環境中，做好準備不僅是最佳實踐，更是必要。

最後的想法

Anubis 代表著勒索軟體策略的轉變，勒索不再是唯一目標——破壞如今佔據了核心地位。隨著網路犯罪手段的不斷演變，我們的防禦能力也必須隨之提升。在瞬息萬變的網路安全格局中，保持資訊靈通、保持警覺、積極主動，對於應對這一新局面至關重要。