Хакерська група Anubis, що стоїть за одним із новіших сервісів ransomware-as-a-service (RaaS), впровадила у свою шкідливу програму модуль, який не лише шифрує файли, а й повністю знищує їхній вміст. Це робить відновлення даних неможливим навіть після сплати викупу.
Хакерська група Anubis, що стоїть за одним із новіших сервісів ransomware-as-a-service (RaaS), впровадила у свою шкідливу програму модуль, який не лише шифрує файли, а й повністю знищує їхній вміст. Це робить відновлення даних неможливим навіть після сплати викупу.
Як повідомляє Bleeping Computer, у нових версіях шкідливого ПЗ Anubis дослідники компанії Trend Micro виявили нову функцію. З’явився спеціальний інструмент, що стирає вміст файлів, залишаючи лише їхні імена та структуру каталогів. У результаті користувач бачить «порожні» документи, розміром 0 КБ, які неможливо відновити.
Ця деструктивна функція активується за допомогою параметра командного рядка /WIPEMODE, який потребує ключової автентифікації. На думку аналітиків, новий підхід покликаний посилити тиск на жертв, змушуючи їх платити швидше та не затягувати перемовини.
Anubis почав набирати активність на початку 2025 року, хоча перші згадки про нього з’явилися ще у грудні 2024-го. Наприкінці лютого хакери оголосили про запуск партнерської програми на форумі RAMP, запропонувавши афіліатам до 80% доходу від атак. Втім, наразі на сторінці Anubis у даркнеті зазначено лише 8 зафіксованих жертв.
Шкідливе ПЗ використовує шифрування ECIES, видаляє копії тіньових томів, завершує критичні процеси, але обходить важливі системні каталоги, аби зберегти працездатність зараженого пристрою. Після шифрування до файлів додається розширення .anubis, а в уражених папках з’являється HTML-файл з інструкціями щодо викупу. У деяких випадках програма намагається змінити шпалери робочого столу, однак марно.
Розповсюдження Anubis зазвичай починається зі зловмисних листів — або з посиланнями, або з вкладеними зараженими файлами. Це типовий вектор для атак, націлених як на компанії, так і на окремих користувачів.
Anubis не слід плутати з однойменним вірусом для Android. Це окрема RaaS-операція. Експерти попереджають: нова тактика може означати перехід Anubis на вищий рівень деструктивності, і з часом кількість атак може зрости.
Раніше ми писали, як кіберзлочинці масово зловживають механізмом кастомних посилань у Discord, перенаправляючи користувачів на фальшиві сервери з інфостілерами, які викрадають дані для доступу до криптогаманців та браузерів.
