Il ransomware Anubis ha acquisito la funzionalità di cancellazione dei dati ed è ora in grado di distruggere i file presi di mira.
Anubis è stato individuato per la prima volta dagli specialisti della sicurezza informatica nel dicembre 2024 e ha iniziato a mostrare attività all’inizio di quest’anno. Come riportato all’epoca dagli analisti di F6, i creatori di Anubis offrivano ai loro partner tre diversi schemi di attacco: Anubis Ransomware, Anubis Data Ransom e Access Monetization. Di conseguenza, i partner del gruppo potevano ricevere fino all’80% dei “ricavi” ottenuti tramite gli attacchi.
Come hanno ora segnalato gli esperti di Trend Micro, gli autori di Anubis stanno attivamente migliorando il loro malware e lavorando all’aggiunta di nuove funzionalità, una delle quali è la funzione di distruzione dei file.
CORSO NIS2 : Network and Information system 2 La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce.
Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.
Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita. Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
I ricercatori ritengono che la funzionalità di cancellazione dei dati, recentemente introdotta, venga utilizzata per esercitare ulteriore pressione sulle vittime affinché paghino più rapidamente anziché ritardare o ignorare le negoziazioni con gli aggressori.
Anubis è molto diverso dagli altri RaaS e utilizza una funzionalità di distruzione dei file progettata per ostacolare qualsiasi tentativo di recupero anche dopo la crittografia
spiega Trend Micro. “Questa tattica distruttiva aumenta la pressione sulle vittime e aumenta la posta in gioco di un attacco già devastante.”
Il wiper viene attivato utilizzando il parametro della riga di comando /WIPEMODE, che richiede l’autenticazione basata su chiave. Una volta attivato, tutto il contenuto dei file viene cancellato, le loro dimensioni vengono ridotte a 0 KB e i nomi e la struttura rimangono intatti. In altre parole, la vittima sarà ancora in grado di visualizzare tutti i file, ma il loro contenuto verrà distrutto in modo irreversibile e il ripristino sarà impossibile.
L’analisi di Trend Micro ha inoltre dimostrato che Anubis supporta diversi comandi al momento dell’avvio, tra cui comandi di escalation dei privilegi, l’esclusione di determinate directory e la specifica di percorsi di destinazione per la crittografia. Inoltre, il malware elimina le copie shadow del volume e termina processi e servizi che potrebbero interferire con il ransomware.
Viene utilizzato ancora ECIES (un algoritmo di crittografia basato su curve ellittiche), il che è piuttosto raro. Nel loro rapporto, gli esperti sottolineano la somiglianza di questa implementazione con i malware EvilByte e Prince.
Redazione La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Due gravi vulnerabilità di sicurezza sono state individuate nei dispositivi NetScaler ADC e NetScaler Gateway (precedentemente noti come Citrix ADC e Gateway). Queste falle possono permettere a u...
Secondo una analisi degli specialisti del Positive Technologies Expert Security Center, è stata rilevata una nuova vulnerabilità in Google Chrome monitorata con l’identificatore CVE-2...
Come abbiamo visto, è guerra informatica tra Israele ed Iran. Dopo gli attacchi di Predatory Sparrow alla Bank Sepah, ora un gruppo che si fa chiamare APTiran, colpisce le infrastrutture di Israe...
Autori: Simone D’Agostino e Antonio Piovesan Abbiamo spesso parlato di casi di vettori di attacco come e-mail/sms di phishing, siti abbeveratoio (watering hole) o altro riconducibile in general...
Un nuovo caso di Initial Access italiano è emerso nelle ultime ore sul dark web, confermando la continua pressione cybercriminale sul tessuto industriale del Paese. Il venditore, identi...
