Se ha descubierto una cepa de ransomware emergente que incorpora capacidades para acelerar archivos y borrarlos permanentemente, un explicación que se ha descrito como una “rara amenaza de doble”.
“El ransomware presenta un ‘modo de fregado’, que sedimento permanentemente los archivos, lo que hace que la recuperación sea difícil incluso si se paga el rescate”, dijeron la semana pasada, dijo la semana pasada, dijo la semana pasada, dijo la semana pasada.
La operación de ransomware como servicio (RAAS) en cuestión se apasionamiento Anubis, que se convirtió en activo en diciembre de 2024, reclamando a las víctimas de la salubridad, la hospitalidad y los sectores de construcción en Australia, Canadá, Perú y el exploración estadounidense de muestras de prueba tempranas del ransomware sugiere que los desarrolladores inicialmente llamaron a TI Sphinx, antaño de tejer el nombre de marca en la interpretación final.
Vale la pena señalar que el equipo de delitos electrónicos no tiene vínculos con un troyano de banca Android y una puerta trasera con sede en Python del mismo nombre, el postrero de los cuales se atribuye al peña FIN7 (incluso conocido como Grayalpha) motivado financieramente.
“Anubis ejecuta un software de afiliación flexible, que ofrece divisiones de ingresos negociables y apoya rutas de monetización adicionales como trastorno de datos y ventas de llegada”, dijo la compañía de seguridad cibernética.
El software de afiliados sigue una división de 80-20, lo que permite a los actores afiliados tomar el 80% del rescate pagado. Por otro flanco, los esquemas de trastorno de datos y monetización de llegada ofrecen una división de 60-40 y 50-50, respectivamente.
Las cadenas de ataque montadas por ANUBIS implican el uso de correos electrónicos de phishing como vector de llegada original, con los actores de amenaza que aprovechan el punto de apoyo para aumentar los privilegios, soportar a final el registro y tomar medidas para eliminar copias de sombra de tamaño, antaño de encriptar archivos y, si es necesario, lustrar sus contenidos.
Esto significa que los tamaños de archivo se reducen a 0 kb mientras deja los nombres de los archivos o sus extensiones intactas, lo que hace que la recuperación sea difícil y, por lo tanto, ejerce más presión sobre las víctimas para acreditar.
“El ransomware incluye una función de limpiaparabrisas que usa /WipEmode Parameter, que puede eliminar permanentemente el contenido de un archivo, evitando cualquier intento de recuperación”, dijeron los investigadores.
“Su capacidad para acelerar y destruir permanentemente los datos aumenta significativamente las apuestas para las víctimas, amplificando la presión para cumplir, al igual que las operaciones de ransomware fuertes apuntan a hacer”.
El descubrimiento del comportamiento destructivo de Anubis se produce cuando la nueva infraestructura detallada futura registrada asociada con el peña FIN7 que se está utilizando para hacerse producirse por productos y servicios de software legítimos como parte de una campaña diseñada para ofrecer una rata de soporte de NETS.
La firma de inteligencia de amenazas propiedad de MasterCard dijo que identificó tres vectores de distribución únicos durante el año pasado que han empleado páginas de puesta al día de navegador falsas, sitios de descarga falsos de 7 ZIP y TAG-124 (incluso conocido como 404 TDS, Chaya_002, Kongtuke y Landupdate808) para entregar el malware.
Mientras que el método de puesta al día del navegador espurio carga un cargador personalizado denominado MaskBat para ejecutar el troyano de llegada remoto, los dos vectores de infección restantes emplean otro cargador de potencia de PowerShell personalizado que lo descomprime y lo ejecuta.
“(Maskbat) tiene similitudes con FakeBat, pero se ofusca y contiene cadenas vinculadas a Grayalpha”, dijo el peña Insikt de Future. “Aunque se observó que los tres vectores de infección se usaban simultáneamente, solo las páginas de descarga falsas de 7 ZIP todavía estaban activas al momento de escribir, con dominios recién registrados que aparecen recientemente como abril de 2025”.
