I ricercatori di Trend Micro hanno pubblicato informazioni dettagliate su Anubis, un Ransomware-as-a-Service (Raas) nato a fine 2024 e diventato più attivo dall’inizio del 2025. Gli sviluppatori del servizio hanno recentemente aggiunto un modulo wiper che distrugge permanentemente i file, rendendo impossibile il loro ripristino anche se viene pagato il riscatto.
Descrizione delle funzionalità di Anubis
Il modello di business di Anubis è simile a quello di altri simili servizi, ovvero la condivisione dei profitti illeciti tra sviluppatori (gestori) e cybercriminali (affiliati) che eseguono gli attacchi ransomware. Gli esperti di Trend Micro ha individuato finora sette vittime in Australia, Stati Uniti, Canada e Perù.
La catena di infezione prevede innanzitutto l’invio di email verso target specifici (spear phishing). Il malware viene nascosto nell’allegato o distribuito tramite sito esterno. All’avvio vengono ottenuti i privilegi di amministratore, analizzati i processi in esecuzione e creato l’elenco delle directory che non devono essere cifrate.
Viene inoltre impedito il ripristino del sistema eliminando tutte le copie shadow dei volumi. Al termine della cifratura dei file viene mostrato un testo che spiega come contattare i cybercriminali per concordare il riscatto. Se non viene pagato, i file rubati finiranno online.
L’ultima versione del ransomware include un modulo wiper. Se la vittima non paga il riscatto, tutti i file verranno distrutti. Sono ancora presenti su disco, ma il contenuto non può essere recuperato. Lo sopo di questa nuova funzionalità è mettere pressione e quindi incrementare la probabilità di successo degli attacchi.
Le aziende devono adottare tutte le misure preventive per evitare la perdita di dati importanti, tra cui il filtro di email sospette, il controllo degli accessi e soprattutto l’esecuzione di backup periodici da conservare offline.
Ti potrebbe interessare
16 giu 2025