Een opkomende ransomware-stam is ontdekt met het opnemen van mogelijkheden om bestanden te coderen en deze permanent te wissen, een ontwikkeling die is beschreven als een “zeldzame dubbele dreiging”.
“De ransomware heeft een ‘wip -modus’, die bestanden permanent wist, het herstel onmogelijk maakt, zelfs als het losgeld wordt betaald,” zeiden trend micro -onderzoekers Maristel Policarpio, Sarah Pearl Camilieling en Sophia Nilette Robles in een rapport dat vorige week werd gepubliceerd.
De ransomware-as-a-service (RAAS) operatie in kwestie heet Anubis, die in december 2024 actief werd, en claimt slachtoffers in de gezondheidszorg-, gastvrijheids- en bouwsectoren in Australië, Canada, Peru, Peru, Peru, Peru, Peru, en de Amerikaanse analyse van vroege, proefmonsters van de Ransomware, suggereert dat de ontwikkelaars het initiële naam van de merknaam in de definitieve versie in de definitieve versie.
Het is vermeldenswaard dat de E-crime-bemanning geen banden heeft met een Android Banking Trojan en een Python-gebaseerde achterdeur met dezelfde naam, waarvan de laatste wordt toegeschreven aan de financieel gemotiveerde Fin7 (AKA Grayalpha) -groep.
“Anubis organiseert een flexibel affiliate -programma, biedt verhandelbare inkomstensplitsingen en ondersteunt extra inkomsten voor het genereren van inkomsten zoals data -afpersing en toegangsverkopen,” zei het Cybersecurity Company.
Het partnerprogramma volgt een splitsing van 80-20, waardoor Acteurs van affiliate 80% van het betaalde losgeld kunnen nemen. Aan de andere kant bieden data-afpersing en toegang tot inkomstenschema’s een splitsing van 60-40 en 50-50 respectievelijk.
Aanvalketens gemonteerd door Anubi’s omvatten het gebruik van phishing -e -mails als de initiële toegangsvector, waarbij de dreigingsacteurs de voet aan de grond hebben gebruikt om privileges te escaleren, verkenning te voeren en stappen te ondernemen om de kopieën van de volume -schaduw te verwijderen, voordat ze bestanden versleutelen en, indien nodig, hun inhoud wegen.
Dit betekent dat de bestandsgroottes worden gereduceerd tot 0 kb terwijl de bestandsnamen of hun extensies onaangeroerd worden, waardoor herstel onmogelijk wordt en daarom meer druk uitoefent op slachtoffers om te betalen.
“De ransomware omvat een wisserfunctie met behulp van /wipemode -parameter, die de inhoud van een bestand permanent kan verwijderen, waardoor elke herstelpoging kan worden voorkomen,” zeiden de onderzoekers.
“Het vermogen om gegevens te coderen en permanent te vernietigen, verhoogt de inzet aanzienlijk voor slachtoffers, waardoor de druk om te voldoen te versterken – net zoals sterke ransomware -bewerkingen willen doen.”
De ontdekking van het destructieve gedrag van Anubis komt als opgenomen toekomstige gedetailleerde nieuwe infrastructuur die verband houdt met de Fin7 -groep die wordt gebruikt om legitieme softwareproducten en -diensten voor te doen als onderdeel van een campagne die is ontworpen om NetSupport Rat te leveren.
Het MasterCard-eigendom dreigingsinlichtingenbedrijf zei dat het het afgelopen jaar drie unieke distributievectoren heeft geïdentificeerd die nep-updatepagina’s van de browser, nep 7-Zip-downloadsites hebben gebruikt en TAG-124 (AKA 404 TDS, Chaya_002, Kongtuke en Landupdate808) om de malware te leveren.
Terwijl de nepbrowser -updatemethode een aangepaste lader -gemakkelijke MaskBat laadt om de externe toegang Trojan uit te voeren, gebruiken de resterende twee infectievectoren een andere aangepaste PowerShell -lader nagesynchroniseerd Powernet die deze decomprimeert en uitvoert.
“(Maskbat) heeft overeenkomsten met nepbat, maar is verdoezeld en bevat snaren gekoppeld aan Grayalpha,” zei de Insikt Group van Future. “Hoewel alle drie de infectievectoren werden waargenomen die tegelijkertijd werden gebruikt, waren alleen de nep-downloadpagina’s van 7-zip nog steeds actief op het moment van schrijven, met nieuw geregistreerde domeinen die al in april 2025 verschenen.”
