Ransomware Anubis apaga arquivos após criptografia e inviabiliza recuperação de dados

Pesquisadoras da Trend Micro identificaram uma nova e perigosa variante de ransomware chamada Anubis, que combina criptografia de dados com um inédito "modo de limpeza", capaz de apagar permanentemente os arquivos das vítimas. Essa abordagem torna a recuperação impossível mesmo após o pagamento do resgate, caracterizando o que especialistas descrevem como uma "ameaça dupla rara".

A operação do Anubis, ativa desde dezembro de 2024, tem como alvos principais os setores de saúde, hospitalidade e construção civil em países como Austrália, Canadá, Peru e Estados Unidos.

Inicialmente batizado de Sphinx em amostras de teste, o ransomware passou a usar o nome Anubis em sua versão final. Diferente de outros malwares homônimos — como o trojan bancário para Android ou o backdoor em Python associado ao grupo hacker FIN7 (GrayAlpha) — esta ameaça funciona como um modelo Ransomware como Serviço (RaaS).

A estrutura do programa de afiliados é flexível, oferecendo divisões de receita atrativas: 80% do valor dos resgates vai para os afiliados, enquanto os lucros com extorsão de dados e revenda de acessos comprometidos seguem divisões de 60-40 e 50-50, respectivamente.

Os ataques da operação Anubis geralmente começam com campanhas de phishing, usadas para obter acesso inicial aos sistemas. Uma vez dentro, os hackers elevam privilégios, realizam reconhecimento e excluem cópias de segurança (shadow volumes) antes de criptografar ou destruir os arquivos.

A destruição é realizada por meio do comando /WIPEMODE, que zera o conteúdo dos arquivos — mantendo seus nomes e extensões — de modo a aumentar a pressão psicológica sobre as vítimas e forçá-las ao pagamento.

O comportamento destrutivo do Anubis surge em paralelo a descobertas da Recorded Future sobre novas campanhas do grupo FIN7, que utiliza páginas falsas de atualização de navegador, sites fraudulentos de download de software e técnicas de redirecionamento para distribuir o NetSupport RAT.

Carregadores personalizados como MaskBat e PowerNet estão sendo empregados para esconder e executar o trojan, com domínios maliciosos ainda ativos até abril de 2025. Essa convergência de campanhas destrutivas e sofisticadas reforça a escalada do cibercrime e o aumento da complexidade das ameaças que organizações enfrentam atualmente.

Via - THN