一个名为 Anubis的新型勒索软件组织已经出现,该组织采用双重勒索策略,并在勒索软件即服务(RaaS)模式下开展活动。根据 KELA 的一份报告,这个组织至少从 2024 年 11 月起就开始活跃,在 RAMP 和 XSS 等网络犯罪论坛上都能发现他们的踪迹。
2024 年 11 月 13 日,一名受害者报告了一起网络安全事件,表明该组织在 2024 年 12 月正式 “亮相” 之前就已经在实施攻击了,Anubis也因此首次受到关注。从那以后,Anubis扩大了其业务范围,向网络犯罪分子提供了多种附属项目,包括:
1.Anubis勒索软件(分成比例 80/20)—— 一种经典的勒索软件即服务模式,附属成员可获得赎金支付的 80%。
2.数据勒索(分成比例 60/40)—— 通过威胁公开被盗数据来获利。
3.访问权限变现(分成比例 50/50)—— 将企业访问凭证出售给勒索软件操作者。
根据 KELA 的报告,Anubis勒索软件具备先进的功能,包括:
1.加密算法:使用 ChaCha+ECIES 加密算法。
2.跨平台攻击目标:影响 Windows、Linux、网络附加存储(NAS)和 ESXi 等环境。
3.权限提升:获取 “NT AUTHORITY\SYSTEM” 权限。
4.横向移动:可在不同域之间自我传播。
5.管理界面:通过基于网络的面板进行控制。
这些特点表明,Anubis并非业余组织的行为,而是一个高度结构化的勒索软件服务组织。
除了基于加密的攻击手段外,Anubis还采用了复杂的勒索机制,包括:
1.调查性新闻手法:
(1)根据被盗取的企业数据撰写 “调查性文章”。
(2)将文章发布在一个隐藏的、设有密码保护的页面上。
(3)通知受影响的监管机构(如GDPR、HHS、ICO等)以增加压力。
2.谈判与威胁:
(1)受害者会接到直接电话,被告知遭受了攻击。
(2)如果他们拒绝支付赎金,所有被盗取的数据将被公开泄露。
Anubis已经宣称攻击了来自多个行业(包括医疗保健和建筑行业)的四名受害者:
1.Pound Road Medical Centre(PRMC,澳大利亚)——2024 年 11 月 13 日报告了一起数据泄露事件,涉及医疗记录和澳大利亚医疗保险信息。
2.Summit Home Health(加拿大)——2024 年 12 月 29 日,Anubis免费泄露了从该机构盗取的医疗数据。
3.Comercializadora S&E Perú—— 一家秘鲁建筑公司,其数据在 2024 年 12 月被泄露。
4.一家未透露名称的美国工程公司 —— 最新的受害者,于 2025 年 2 月 25 日被曝光。
值得注意的是,四名受害者中有两名来自医疗保健行业,这凸显了Anubis可能对关键行业的关注。
KELA 的分析表明,基于以下几点,Anubis的操作者可能是其他勒索软件组织的前附属成员:
1.结构完善的勒索方法。
2.在勒索软件开发方面的技术成熟度。
3.使用详细的调查式曝光受害者的策略。
该组织在俄语网络犯罪论坛上活动,这进一步支持了Anubis可能与之前的勒索软件犯罪集团存在关联的理论。
发表评论
您还未登录,请先登录。
登录