Se ha descubierto una cepa de ransomware emergente que incorpora capacidades para cifrar archivos y borrarlos permanentemente, un desarrollo que se ha descrito como una «rara amenaza de doble».
«El ransomware presenta un ‘modo de limpieza’, que borra permanentemente los archivos, lo que hace que la recuperación sea imposible incluso si se paga el rescate», dijeron la semana pasada, dijo la semana pasada, dijo la semana pasada, dijo la semana pasada.
La operación de ransomware como servicio (RAAS) en cuestión se llama Anubis, que se convirtió en activo en diciembre de 2024, reclamando a las víctimas de la salud, la hospitalidad y los sectores de construcción en Australia, Canadá, Perú y el análisis estadounidense de muestras de prueba tempranas del ransomware sugiere que los desarrolladores inicialmente llamaron a TI Sphinx, antes de tejer el nombre de marca en la versión final.
Vale la pena señalar que el equipo de delitos electrónicos no tiene vínculos con un troyano de banca Android y una puerta trasera con sede en Python del mismo nombre, el último de los cuales se atribuye al grupo FIN7 (también conocido como Grayalpha) motivado financieramente.
«Anubis ejecuta un programa de afiliación flexible, que ofrece divisiones de ingresos negociables y apoya rutas de monetización adicionales como extorsión de datos y ventas de acceso», dijo la compañía de seguridad cibernética.
El programa de afiliados sigue una división de 80-20, lo que permite a los actores afiliados tomar el 80% del rescate pagado. Por otro lado, los esquemas de extorsión de datos y monetización de acceso ofrecen una división de 60-40 y 50-50, respectivamente.
Las cadenas de ataque montadas por ANUBIS implican el uso de correos electrónicos de phishing como vector de acceso inicial, con los actores de amenaza que aprovechan el punto de apoyo para aumentar los privilegios, llevar a cabo el reconocimiento y tomar medidas para eliminar copias de sombra de volumen, antes de encriptar archivos y, si es necesario, limpiar sus contenidos.
Esto significa que los tamaños de archivo se reducen a 0 kb mientras deja los nombres de los archivos o sus extensiones intactas, lo que hace que la recuperación sea imposible y, por lo tanto, ejerce más presión sobre las víctimas para pagar.
«El ransomware incluye una función de limpiaparabrisas que usa /WipEmode Parameter, que puede eliminar permanentemente el contenido de un archivo, evitando cualquier intento de recuperación», dijeron los investigadores.
«Su capacidad para cifrar y destruir permanentemente los datos aumenta significativamente las apuestas para las víctimas, amplificando la presión para cumplir, al igual que las operaciones de ransomware fuertes apuntan a hacer».
El descubrimiento del comportamiento destructivo de Anubis se produce cuando la nueva infraestructura detallada futura registrada asociada con el grupo FIN7 que se está utilizando para hacerse pasar por productos y servicios de software legítimos como parte de una campaña diseñada para ofrecer una rata de soporte de NETS.
La firma de inteligencia de amenazas propiedad de MasterCard dijo que identificó tres vectores de distribución únicos durante el año pasado que han empleado páginas de actualización de navegador falsas, sitios de descarga falsos de 7 ZIP y TAG-124 (también conocido como 404 TDS, Chaya_002, Kongtuke y Landupdate808) para entregar el malware.
Mientras que el método de actualización del navegador falso carga un cargador personalizado denominado MaskBat para ejecutar el troyano de acceso remoto, los dos vectores de infección restantes emplean otro cargador de potencia de PowerShell personalizado que lo descomprime y lo ejecuta.
«(Maskbat) tiene similitudes con FakeBat, pero se ofusca y contiene cadenas vinculadas a Grayalpha», dijo el grupo Insikt de Future. «Aunque se observó que los tres vectores de infección se usaban simultáneamente, solo las páginas de descarga falsas de 7 ZIP todavía estaban activas al momento de escribir, con dominios recién registrados que aparecen recientemente como abril de 2025».
