Anubis Ransomware: Dosyaları Kurtarmanın Ötesinde Silen Bir Tehdit
Anubis Ransomware-as-a-Service (RAAS) işlemi, dosya incelrptimg kötü amaçlı yazılımına, hedeflenen dosyaları tamamen yok eden bir silecek modülü ekledi ve fidye ödensin ya da ödenmesin kurtarmayı imkansız hale getirdi.
Anubis (fidye yazılımı modülü ile aynı adlı Android kötü amaçlı yazılımla karıştırılmamalıdır), Aralık 2024’te ilk olarak gözlenen nispeten yeni bir RAAS’dır, ancak yıl başında daha aktif hale geldi.
23 Şubat’ta operatörler rampa forumunda bir bağlı kuruluş programı duyurdular.
Kela’nın o zamanki bir raporu, Anubis’in fidye yazılımlarına gelirlerinin% 80 payını sunduğunu açıkladı. Veri gasp iştiraklerine% 60 teklif edildi ve başlangıç erişim brokerleri% 50 kesim.
Şu anda, Anubis’in karanlık web’deki gasp sayfası sadece sekiz kurbanı listeliyor ve bu da teknik yöne olan güven güçlendikten sonra saldırı hacmini artırabileceğini gösteriyor.
Bu cephede, dün yayınlanan bir trend mikro raporu, Anubis operatörlerinin aktif olarak yeni özellikler eklemeye çalıştıklarına dair kanıtlar içeriyor, olağandışı bir tane dosya değiştirme işlevi.
Araştırmacılar, silecekleri diseke ettikleri en son Anubis örneklerinde buldular ve müzakereleri durdurmak veya tamamen görmezden gelmek yerine kurbanın daha hızlı ödeme yapma baskısını artırmak için özelliğin tanıtıldığına inanıyorlar.
Trend Micro, “Anubis’i diğer RAA’lardan ayıran ve operasyonlarına bir avantaj sağlayan şey, şifrelemeden sonra bile kurtarma çabalarını sabote etmek için tasarlanmış bir dosya silme özelliği kullanmasıdır” diye açıklıyor Trend Micro.
“Bu yıkıcı eğilim kurbanlara baskı yapıyor ve zaten zararlı bir saldırının riskini artırıyor.”
Yıkıcı davranış, sorun için anahtar tabanlı kimlik doğrulama gerektiren ‘/wipemode’ komut satırı parametresi kullanılarak etkinleştirilir.
Kaynak: Trend Micro
Etkinleştirildiğinde, silecek tüm dosya içeriğini silerek dosya adlarını ve yapıyı sağlam tutarken boyutlarını 0 kb’ye düşürür.
Mağdur hala beklenen dizinlerdeki tüm dosyaları görecek, ancak içerikleri geri dönüşü olmayan bir şekilde yok edilecek ve kurtarmayı imkansız hale getirecek.
Kaynak: Trend Micro
Trend Micro’nun analizi, ANUBIS’in ayrıcalık yüksekliği, dizin dışlama ve şifreleme için hedef yollar da dahil olmak üzere lansmanda birkaç komutu desteklediğini ortaya koyuyor.
Sistemin tamamen kullanılamaz hale getirilmesini önlemek için önemli sistem ve program dizinleri varsayılan olarak hariç tutulur.
Fidye yazılımı, ses gölge kopyalarını kaldırır ve şifreleme işlemine müdahale edebilecek süreç ve hizmetleri sona erdirir.
Şifreleme sistemi ECIES’i (eliptik eğri entegre şifreleme şeması) kullanıyor ve araştırmacılar Evilbyte ve Prens fidye yazılımlarına uygulama benzerliklerini kaydetti.
Şifrelenmiş dosyalar ‘.anubis’ uzantısına eklenir, etkilenen dizinlere bir HTML fidye notu bırakılır ve kötü amaçlı yazılım ayrıca masaüstü duvar kağıdını değiştirme girişimi (başarısız) gerçekleştirir.
Kaynak: Trend Micro
Trend Micro, Anubis saldırılarının kötü niyetli bağlantılar veya ekler taşıyan kimlik avı e-postalarıyla başladığını gözlemledi.
Anubis saldırılarıyla ilişkili uzlaşma göstergelerinin (IOC’ler) tam listesi burada mevcuttur.