Een wiper-module maakt de Akira-ransomware doeltreffender van voorheen. Zelfs als slachtoffers losgeld betalen, zijn ze hierdoor hun data kwijt. De vraag is of deze strategie al te lang succesvol is voor de aanvallers.
De relatief nieuwe groep, voor het eerst in de publiciteit eind vorig jaar, experimenteert erop los. Trend Micro ontdekte de nieuwe module in recente Anubis-samples. De software is ontworpen om hersteloperaties ook na de initiële encryptie te dwarsbomen, zo legt het securitybedrijf uit. Trend Micro ziet deze extra destructieve aard als een concurrend voordeel.
Destructieve wiper als drukkmiddel
De wiper-functie activeert via de command-line parameter ‘/WIPEMODE’ met key-gebaseerde authenticatie. Bij activering wist de wiper alle bestandsinhoud en reduceert bestanden tot 0 KB, maar de bestandsnamen en mapstructuren blijven ongerept. Slachtoffers zien hun bestanden nog wel staan, maar de inhoud is definitief verloren.
Anubis ondersteunt verschillende commando’s zodra het wordt opgestart, waaronder privilege-escalatie en directory-exclusies. Belangrijke systeem- en programmamappen blijven gespaard om complete onbruikbaarheid te voorkomen. De ransomware verwijdert verder Volume Shadow Copies en beëindigt processen die de encryptie kunnen verstoren.
Technische details van de aanval
Het encryptiesysteem gebruikt ECIES (Elliptic Curve Integrated Encryption Scheme). Researchers zien hierin overeenkomsten met de EvilByte- en Prince-ransomwarevarianten. Geëncrypteerde bestanden krijgen de ‘.anubis’ extensie, terwijl een HTML-losgeldbrief in getroffen directories wordt geplaatst.
Aanvallen beginnen doorgaans met phishing-emails met kwaadaardige links of bijlagen. De malware probeert ook de desktop-achtergrond te wijzigen, hoewel dit vaak mislukt volgens de onderzoekers. Als dit wel lukt, weten slachtoffers vrijwel meteen dat er iets mis is.
Groeiende maar beperkte operatie
Anubis verscheen voor het eerst op de securityradar in december 2024 en roerde zich sterker in de eerste maanden van dit jaar. Op 23 februari kondigden de leiders een affiliate-programma aan op het RAMP-forum, waarbij ransomware-affiliates 80 procent van de opbrengsten krijgen. Data-afpersing levert 60 procent op, terwijl brokers voor initiële toegang 50 procent ontvangen. Zo past Anubis perfect binnen het moderne RaaS-landschap, met voor ieder vaardigheidsniveau wat wils.
De groep heeft tot nu toe acht slachtoffers op hun dark web extortion-site vermeld, dus de effectiviteit is beperkt. Wel is een compromis door de gebruikte tactieken desastreus. De wiper-functionaliteit maakt deze nieuwe RaaS-groep gevaarlijker dan veel gevestigde namen, ondanks de beperkte omvang. Echter vloert het ook de onderhandeling als slachtoffers doorhebben dat Anubis hun bestanden al voorgoed heeft verwijderd.