Se ha descubierto una cepa de ransomware emergente que incorpora capacidades para resumir archivos y borrarlos permanentemente, un incremento que se ha descrito como una «rara amenaza de doble».
«El ransomware presenta un ‘modo de aseo’, que residuo permanentemente los archivos, lo que hace que la recuperación sea ficticio incluso si se paga el rescate», dijeron la semana pasada, dijo la semana pasada, dijo la semana pasada, dijo la semana pasada.
La operación de ransomware como servicio (RAAS) en cuestión se claridad Anubis, que se convirtió en activo en diciembre de 2024, reclamando a las víctimas de la vigor, la hospitalidad y los sectores de construcción en Australia, Canadá, Perú y el estudio estadounidense de muestras de prueba tempranas del ransomware sugiere que los desarrolladores inicialmente llamaron a TI Sphinx, ayer de tejer el nombre de marca en la traducción final.
Vale la pena señalar que el equipo de delitos electrónicos no tiene vínculos con un troyano de banca Android y una puerta trasera con sede en Python del mismo nombre, el zaguero de los cuales se atribuye al especie FIN7 (todavía conocido como Grayalpha) motivado financieramente.
«Anubis ejecuta un software de afiliación flexible, que ofrece divisiones de ingresos negociables y apoya rutas de monetización adicionales como perturbación de datos y ventas de ataque», dijo la compañía de seguridad cibernética.
El software de afiliados sigue una división de 80-20, lo que permite a los actores afiliados tomar el 80% del rescate pagado. Por otro costado, los esquemas de perturbación de datos y monetización de ataque ofrecen una división de 60-40 y 50-50, respectivamente.
Las cadenas de ataque montadas por ANUBIS implican el uso de correos electrónicos de phishing como vector de ataque auténtico, con los actores de amenaza que aprovechan el punto de apoyo para aumentar los privilegios, sobrellevar a agarradera el gratitud y tomar medidas para eliminar copias de sombra de barriguita, ayer de encriptar archivos y, si es necesario, duchar sus contenidos.
Esto significa que los tamaños de archivo se reducen a 0 kb mientras deja los nombres de los archivos o sus extensiones intactas, lo que hace que la recuperación sea ficticio y, por lo tanto, ejerce más presión sobre las víctimas para acreditar.
«El ransomware incluye una función de limpiaparabrisas que usa /WipEmode Parameter, que puede eliminar permanentemente el contenido de un archivo, evitando cualquier intento de recuperación», dijeron los investigadores.
«Su capacidad para resumir y destruir permanentemente los datos aumenta significativamente las apuestas para las víctimas, amplificando la presión para cumplir, al igual que las operaciones de ransomware fuertes apuntan a hacer».
El descubrimiento del comportamiento destructivo de Anubis se produce cuando la nueva infraestructura detallada futura registrada asociada con el especie FIN7 que se está utilizando para hacerse acaecer por productos y servicios de software legítimos como parte de una campaña diseñada para ofrecer una rata de soporte de NETS.
La firma de inteligencia de amenazas propiedad de MasterCard dijo que identificó tres vectores de distribución únicos durante el año pasado que han empleado páginas de aggiornamento de navegador falsas, sitios de descarga falsos de 7 ZIP y TAG-124 (todavía conocido como 404 TDS, Chaya_002, Kongtuke y Landupdate808) para entregar el malware.
Mientras que el método de aggiornamento del navegador adulterado carga un cargador personalizado denominado MaskBat para ejecutar el troyano de ataque remoto, los dos vectores de infección restantes emplean otro cargador de potencia de PowerShell personalizado que lo descomprime y lo ejecuta.
«(Maskbat) tiene similitudes con FakeBat, pero se ofusca y contiene cadenas vinculadas a Grayalpha», dijo el especie Insikt de Future. «Aunque se observó que los tres vectores de infección se usaban simultáneamente, solo las páginas de descarga falsas de 7 ZIP todavía estaban activas al momento de escribir, con dominios recién registrados que aparecen recientemente como abril de 2025».
