Una nueva amenaza de ransomware sofisticada ha surgido del subterráneo cibercriminal, dirigido a plataformas Android y Windows con capacidades duales que se extienden mucho más allá del cifrado de archivos tradicional.
El ransomware de Anubis, identificado por primera vez en noviembre de 2024, representa una evolución preocupante en el diseño de malware, que combina el poder destructivo del ransomware con las técnicas de robo de credenciales de los troyanos bancarios.
Esta amenaza multiplataforma se ha establecido rápidamente como una preocupación significativa para los profesionales de ciberseguridad en todo el mundo.
La emergencia del malware coincide con un aumento alarmante en la actividad de ransomware a nivel mundial. Según los recientes datos de inteligencia de amenazas, las víctimas de ransomware que figuran públicamente en sitios de fuga han aumentado en casi un 25%, mientras que el número de sitios de fuga operados por grupos de ransomware ha crecido en un 53%.
ANUBIS ha contribuido a estas estadísticas a través de su focalización agresiva de la infraestructura crítica y las organizaciones de alto valor en los sectores de servicios de salud, construcción y servicios profesionales.
Investigadores de Bitsight identificado Anubis como una amenaza particularmente peligrosa debido a su sofisticado enfoque de doble plataforma y capacidades destructivas.
El grupo de ransomware, observado comunicándose en ruso en foros web oscuros, ha implementado un modelo distintivo de ransomware como servicio con estructuras de pago de afiliados flexibles.
Lo que distingue a Anubis de otras familias de ransomware es su incorporación de capacidades de eliminación de datos permanentes, y algunas víctimas informan una pérdida completa de datos incluso después de que se hicieron pagos de rescate.
La metodología de ataque del malware comienza con campañas de phishing de lanza cuidadosamente elaboradas que ofrecen cargas útiles maliciosas a través de comunicaciones por correo electrónico de aparición de confianza.
En los dispositivos Android, ANUBIS funciona principalmente como un troyano bancario, implementando superposiciones de phishing que imitan las interfaces de aplicaciones legítimas para cosechar las credenciales de los usuarios.
El malware realiza simultáneamente operaciones de grabación de pantalla y keylogging para capturar datos de autenticación confidenciales, al tiempo que se propaga a través de la lista de contactos de la víctima a través de la distribución de SMS masivo.
Mecanismos avanzados de ejecución y persistencia
ANUBIS demuestra capacidades técnicas sofisticadas en su fase de ejecución, particularmente mediante el uso de parámetros de línea de comandos configurables que permiten a los actores de amenaza personalizar los escenarios de ataque.
El malware emplea parámetros de comando específicos que incluyen /Key =, /Elevated, /Path =, /Pfad =, y /WipEmode, lo que permite a los operadores controlar los procesos de cifrado, la escalada de privilegios, los directorios de destino y la funcionalidad destructiva de limpieza.
En los sistemas de Windows, el ransomware implementa el esquema de cifrado integrado de la curva elíptica (ECIES) para el cifrado de archivos, proporcionando una protección criptográfica robusta que hace que el descifrado no autorizado sea extremadamente difícil.
El malware elimina sistemáticamente las opciones de recuperación eliminando las copias de sombra de volumen y terminando los servicios críticos del sistema, al tiempo que aumenta los privilegios a través de técnicas de manipulación de token de acceso.
Este enfoque de múltiples capas garantiza el máximo impacto al tiempo que evita que las víctimas utilicen mecanismos de recuperación estándar, lo que obliga a las organizaciones a decisiones difíciles con respecto al pago de rescate versus la pérdida de datos permanente.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
