Anubis Ransomware: Ora Distrugge i File! Se non paghi e non li cacci dalla rete, cancellano tutto

Redazione RHC : 19 Giugno 2025 10:09

Il ransomware Anubis ha acquisito la funzionalità di cancellazione dei dati ed è ora in grado di distruggere i file presi di mira.

Anubis è stato individuato per la prima volta dagli specialisti della sicurezza informatica nel dicembre 2024 e ha iniziato a mostrare attività all’inizio di quest’anno. Come riportato all’epoca dagli analisti di F6, i creatori di Anubis offrivano ai loro partner tre diversi schemi di attacco: Anubis Ransomware, Anubis Data Ransom e Access Monetization. Di conseguenza, i partner del gruppo potevano ricevere fino all’80% dei “ricavi” ottenuti tramite gli attacchi.

Come hanno ora segnalato gli esperti di Trend Micro, gli autori di Anubis stanno attivamente migliorando il loro malware e lavorando all’aggiunta di nuove funzionalità, una delle quali è la funzione di distruzione dei file.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

I ricercatori ritengono che la funzionalità di cancellazione dei dati, recentemente introdotta, venga utilizzata per esercitare ulteriore pressione sulle vittime affinché paghino più rapidamente anziché ritardare o ignorare le negoziazioni con gli aggressori.

Anubis è molto diverso dagli altri RaaS e utilizza una funzionalità di distruzione dei file progettata per ostacolare qualsiasi tentativo di recupero anche dopo la crittografia

spiega Trend Micro. “Questa tattica distruttiva aumenta la pressione sulle vittime e aumenta la posta in gioco di un attacco già devastante.”

Il wiper viene attivato utilizzando il parametro della riga di comando /WIPEMODE, che richiede l’autenticazione basata su chiave. Una volta attivato, tutto il contenuto dei file viene cancellato, le loro dimensioni vengono ridotte a 0 KB e i nomi e la struttura rimangono intatti. In altre parole, la vittima sarà ancora in grado di visualizzare tutti i file, ma il loro contenuto verrà distrutto in modo irreversibile e il ripristino sarà impossibile.

L’analisi di Trend Micro ha inoltre dimostrato che Anubis supporta diversi comandi al momento dell’avvio, tra cui comandi di escalation dei privilegi, l’esclusione di determinate directory e la specifica di percorsi di destinazione per la crittografia. Inoltre, il malware elimina le copie shadow del volume e termina processi e servizi che potrebbero interferire con il ransomware.

Viene utilizzato ancora ECIES (un algoritmo di crittografia basato su curve ellittiche), il che è piuttosto raro. Nel loro rapporto, gli esperti sottolineano la somiglianza di questa implementazione con i malware EvilByte e Prince.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli