Anubis Ransomware: Threat Tactics and Partnerships Revealed

28/02/2025
2 mins read
Nội dung
Các khả năng kỹ thuật và nền tảng bị nhắm mục tiêu
Các chương trình liên kết và mô hình kiếm tiền
Tactics hoạt động
Các đối tác và hoạt động
Kết luận

Các khả năng kỹ thuật và nền tảng bị nhắm mục tiêu

  • Nền tảng: Ransomware Anubis nhắm đến các môi trường Windows, Linux, NAS và ESXi.
  • Thuật toán mã hóa: Nó sử dụng thuật toán mã hóa ChaCha+ECIES, cho phép mã hóa dữ liệu mạnh mẽ.
  • Tăng quyền: Malware tăng quyền thành NT AUTHORITY\SYSTEM để có quyền truy cập hệ thống sâu hơn.
  • Tự lây lan: Anubis có khả năng tự lây lan, cho phép mã hóa toàn bộ miền một cách hiệu quả.

Các chương trình liên kết và mô hình kiếm tiền

  • Ransomware-as-a-Service (RaaS): Các đối tác nhận 80% khoản thanh toán tiền chuộc cho việc triển khai ransomware Anubis.
  • Chương trình tiền chuộc dữ liệu: Mô hình này tập trung vào việc kiếm tiền từ dữ liệu bị đánh cắp thông qua các mối đe dọa công khai, cung cấp cho các đối tác 60% doanh thu. Dữ liệu bị đánh cắp phải đáp ứng các tiêu chí cụ thể như tính độc quyền và tính liên quan.
  • Chương trình kiếm tiền từ quyền truy cập: Các Broker quyền truy cập ban đầu có thể bán thông tin đăng nhập của công ty cho Anubis với tỷ lệ chia sẻ doanh thu 50%. Chương trình này bao gồm việc lập hồ sơ chi tiết về nạn nhân để tối đa hóa sức ép tống tiền.

Tactics hoạt động

  • Chiến thuật áp lực: Anubis công bố các bài viết điều tra về nạn nhân trên các trang blog ẩn để gây áp lực lên các tổ chức trả tiền chuộc. Nếu các cuộc đàm phán không thành công, nhóm này sẽ công khai các dữ liệu bị đánh cắp trên blog hoặc các nền tảng truyền thông xã hội của họ.
  • Thông báo cho cơ quan quản lý: Nhóm này thông báo cho các cơ quan quản lý và các bên bị ảnh hưởng để tăng cường áp lực lên nạn nhân.

Các đối tác và hoạt động

  • Hoạt động của đối tác: Đại diện Anubis rất tích cực trên các diễn đàn tội phạm mạng nói tiếng Nga như RAMP và XSS dưới các bí danh như “superSonic” và “Anubis__media.” Các bài đăng của họ cho thấy kinh nghiệm trước đây trong các hoạt động ransomware, có khả năng là các đối tác của các nhóm khác.
  • Nạn nhân: Nhóm này đã nhắm đến các tổ chức ở Australia, Canada, Peru và Hoa Kỳ, với hai trong số bốn nạn nhân đã được xác nhận thuộc về lĩnh vực chăm sóc sức khỏe.

Kết luận

Anubis đại diện cho một mối đe dọa tinh vi và đang phát triển trong cảnh ransomware, khai thác các kỹ thuật tiên tiến và các mô hình kiếm tiền đa dạng để mở rộng tầm ảnh hưởng. Tập trung vào các ngành quan trọng và việc sử dụng các chiến thuật tống tiền kép khiến nó trở thành một mối quan ngại lớn cho các tổ chức trên toàn thế giới.