Анализ программы-вымогателя Anubis: механизмы, угрозы и защита
Источник: www.picussecurity.com
С декабря 2024 года программа-вымогатель Anubis стремительно набирает популярность в сегменте RaaS (Ransomware-as-a-Service) благодаря своим продвинутым функциям и гибкой модели работы. Она не только шифрует файлы жертв, но и предлагает функцию _очистки данных_, обеспечивающую их необратимое уничтожение. Эта особенность значительно усиливает давление на пострадавших и усложняет процесс восстановления информации.
Особенности и операционная модель Anubis
Изначально созданный на базе прототипа под названием «Сфинкс», Anubis активно продвигается на специализированных форумах, посвящённых борьбе с киберпреступностью. Злоумышленники нацелены на международные рынки, особенно в таких секторах, как здравоохранение и машиностроение.
Модель вымогательства у Anubis включает несколько уровней монетизации:
- Традиционные требования выплаты выкупа за расшифровку файлов;
- Вымогательство с последующей продажей доступа к данным — дополнительный источник дохода, демонстрирующий гибкость атакующих.
Атака начинается с рассылки фишинговых писем, которые обманывают пользователей с целью запуска вредоносной нагрузки. Использование человеческого фактора позволяет обходить многие технические средства защиты.
Технические детали вредоносной деятельности
После успешной активации Anubis задействует интерпретаторы команд и скриптов, что позволяет тонко настраивать поведение программы под конкретную целевую среду. Такая адаптивность играет ключевую роль в успешности атаки.
Важной особенностью является принудительный режим очистки, обещающий _безвозвратное уничтожение данных_, если выкуп не будет выплачен вовремя. Это существенно повышает психологическое давление на жертв.
Повышение привилегий и безопасность выполнения
Anubis проверяет наличие административных привилегий особым способом, без прямого запроса прав администратора.
Для этого программа пытается открыть дескриптор основного физического диска — если операция удачна, это сигнализирует о наличии прав администратора. Такой метод позволяет:
- Безопасно повышать привилегии;
- Исполнять резервные сценарии работы, поддерживая стабильность вредоносной активности.
Стратегии шифрования и обход защиты
Перед шифрованием Anubis тщательно сканирует каталоги системы с жестко заданным списком исключений, чтобы не затрагивать критически важные системные директории. Это снижает вероятность сбоя системы и уменьшает риск раннего обнаружения вредоносного ПО.
Кроме того, программа отключает теневые копии томов, что препятствует эффективному восстановлению данных после атаки.
Для самого процесса шифрования используется схема с эллиптической кривой – ECIES. Она применяет криптографию с открытым ключом для защиты симметричного ключа шифрования, что повышает надёжность защиты зашифрованных данных.
Вредоносная программа также переименовывает зашифрованные файлы, добавляя к ним расширение .anubis. Это явный индикатор их статуса и дополнительное усложнение при попытках восстановления.
Операционная безопасность и тактики защиты
Anubis демонстрирует высокий уровень операционной безопасности, отключая определённые системные службы, чтобы избежать сбоев во время работы основных функций — шифрования и очистки данных. Это отражает продвинутую тактику, характерную для современных программ-вымогателей.
Выводы и рекомендации для специалистов по кибербезопасности
Аналитические материалы, посвящённые Anubis, представляют собой важный ресурс для специалистов по безопасности. Понимание операционных механизмов этой угрозы — от методов фишинга до стратегий повышения привилегий и продвинутого шифрования — помогает организациям укрепить защиту и повысить устойчивость к подобным сложным атакам двойного воздействия.
_Комплексная защита и повышение осведомлённости сотрудников о методах социальной инженерии остаются ключевыми элементами в борьбе с программами-вымогателями типа Anubis._
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
