Anubis-Ransomware: Eine neue Bedrohung für Unternehmen

LONDON (IT BOLTWISE) – Eine neue Ransomware-Variante namens Anubis sorgt derzeit für Aufsehen in der Cybersecurity-Welt. Diese Bedrohung kombiniert die Fähigkeit, Daten zu verschlüsseln und gleichzeitig unwiderruflich zu löschen, was selbst nach einer Lösegeldzahlung keine Wiederherstellung ermöglicht.

Die kürzlich entdeckte Ransomware Anubis stellt eine ernsthafte Bedrohung für Unternehmen dar, da sie nicht nur Daten verschlüsselt, sondern auch unwiderruflich löscht. Diese doppelte Bedrohung wird von Experten als selten und besonders gefährlich eingestuft. Laut einem Bericht von Trend Micro, der von den Forschern Maristel Policarpio, Sarah Pearl Camiling und Sophia Nilette Robles veröffentlicht wurde, verfügt Anubis über einen sogenannten ‘Wipe Mode’. Dieser Modus löscht Dateien dauerhaft, sodass eine Wiederherstellung selbst nach Zahlung des Lösegelds unmöglich ist.

Die Ransomware-as-a-Service (RaaS) Operation Anubis wurde im Dezember 2024 aktiv und hat bereits Opfer in den Bereichen Gesundheitswesen, Gastgewerbe und Bauwesen in Australien, Kanada, Peru und den USA gefordert. Erste Analysen der Ransomware deuten darauf hin, dass die Entwickler sie ursprünglich Sphinx nannten, bevor sie den Namen in der endgültigen Version änderten. Es ist wichtig zu beachten, dass diese e-Crime-Gruppe keine Verbindungen zu einem Android-Banking-Trojaner oder einem Python-basierten Backdoor mit demselben Namen hat, letzterer wird der finanziell motivierten Gruppe FIN7 zugeschrieben.

Anubis bietet ein flexibles Partnerprogramm mit verhandelbaren Umsatzbeteiligungen und unterstützt zusätzliche Monetarisierungspfade wie Daten-Erpressung und Zugang-Verkäufe. Das Partnerprogramm folgt einem 80-20-Split, wobei die Partner 80 % des gezahlten Lösegelds erhalten. Daten-Erpressung und Zugang-Monetarisierung bieten hingegen eine 60-40- bzw. 50-50-Aufteilung. Die Angriffswege von Anubis beginnen mit Phishing-E-Mails als initialem Zugangspunkt, wobei die Angreifer diesen Zugang nutzen, um Privilegien zu eskalieren, Aufklärung durchzuführen und Schritte zu unternehmen, um Volumenschattenkopien zu löschen, bevor sie Dateien verschlüsseln und, falls erforderlich, deren Inhalte löschen.

Die Entdeckung des destruktiven Verhaltens von Anubis erfolgt zeitgleich mit Berichten über neue Infrastrukturen der FIN7-Gruppe, die legitime Softwareprodukte und -dienste imitieren, um den NetSupport RAT zu verbreiten. Das Mastercard-eigene Bedrohungsinformationsunternehmen Recorded Future identifizierte drei einzigartige Verbreitungsvektoren im letzten Jahr, die gefälschte Browser-Update-Seiten, gefälschte 7-Zip-Download-Seiten und TAG-124 nutzen, um die Malware zu verbreiten.

Während die Methode des gefälschten Browser-Updates einen benutzerdefinierten Loader namens MaskBat verwendet, um den Remote-Access-Trojaner auszuführen, verwenden die beiden anderen Infektionsvektoren einen weiteren benutzerdefinierten PowerShell-Loader namens PowerNet, der ihn dekomprimiert und ausführt. MaskBat weist Ähnlichkeiten mit FakeBat auf, ist jedoch verschleiert und enthält Zeichenfolgen, die mit GrayAlpha in Verbindung stehen. Obwohl alle drei Infektionsvektoren gleichzeitig beobachtet wurden, waren zum Zeitpunkt der Berichterstattung nur die gefälschten 7-Zip-Download-Seiten noch aktiv, wobei neu registrierte Domains zuletzt im April 2025 auftraten.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!