Исследователи кибербезопасности обнаружили новую разновидность ransomware под названием Anubis, который сочетает функции шифрования файлов с возможностью их полного уничтожения. Как отмечают эксперты Trend Micro, этот редкий "двойной удар" значительно увеличивает давление на жертв, лишая их шансов на восстановление данных даже после выплаты выкупа.
Особенностью Anubis является наличие "режима уничтожения" (/WIPEMODE), при котором содержимое файлов стирается без возможности восстановления – их размер обнуляется, хотя названия и расширения остаются неизменными. Этот RaaS-проект (ransomware-as-a-service), начавший активность в декабре 2024 года, уже атаковал организации здравоохранения, гостиничного бизнеса и строительного сектора в Австралии, Канаде, Перу и США.
Анализ показал, что разработчики изначально назвали вирус Sphinx, но перед релизом сменили бренд. Важно отметить, что эта кибергруппировка не связана с одноимённым Android-трояном или бэкдором FIN7 (GrayAlpha).
Типовая атака начинается с фишинговых писем, после чего злоумышленники повышают привилегии, проводят разведку, удаляют теневые копии и приступают к шифрованию или уничтожению информации.
На фоне этой угрозы Recorded Future сообщает о новых схемах распространения трояна NetSupport RAT группой FIN7. Злоумышленники маскируются под легальные сервисы, используя три метода:
На момент публикации активными оставались только поддельные веб-страницы с 7-Zip, причём новые домены регистрировались вплоть до апреля 2025 года. Загрузчик PowerNet, применяемый в двух последних схемах, распаковывает и запускает вредоносный код через PowerShell.
Эксперты подчёркивают, что сочетание функций шифрования и безвозвратного удаления в Anubis представляет собой качественно новую угрозу, вынуждая жертв немедленно подчиняться требованиям злоумышленников.