Anubis ransomware s funkcí „WIPEMODE“: Nová destruktivní fáze útoků

Ransomware-as-a-Service (RaaS) operace známá jako Anubis nově obsahuje funkci pro nenávratné mazání dat (wiper), která ničí obsah souborů takovým způsobem, že jejich obnova je nemožná i po zaplacení výkupného. Tato vlastnost činí z Anubisu jeden z nejagresivnějších ransomwarových nástrojů současnosti.

Zatímco většina ransomwarových útoků se snaží maximalizovat zisk výměnou za dešifrovací klíč, Anubis přechází k destruktivnímu scénáři. Podle zprávy společnosti Trend Micro je nová funkce záměrně navržena tak, aby zvýšila psychologický tlak na oběti a eliminovala snahy o vyjednávání nebo oddalování platby.

Po aktivaci parametru /WIPEMODE dojde ke smazání obsahu všech cílových souborů – velikost každého z nich je nastavena na 0 KB, přičemž struktura adresářů a názvy souborů zůstávají zachovány. To vytváří iluzi zachovaných dat, která však již nelze nijak obnovit.

Anubis používá k šifrování ECIES (Elliptic Curve Integrated Encryption Scheme), přičemž výzkumníci upozorňují na podobnosti s ransomwaremi EvilByte a Prince. Součástí útoku je odstranění Volume Shadow Copies (VSS), ukončení procesů a služeb bránících šifrování, vyloučení systémových adresářů, aby nebyl systém zcela nefunkční, přidání přípony .anubis k šifrovaným souborům a zanechání HTML výkupného v každé složce.

První aktivita skupiny Anubis byla zaznamenána v prosinci 2024, s výraznějším nárůstem útoků od začátku roku 2025. Útočníci lákají nové spolupracovníky přes underground fórum RAMP, kde nabízeli až 80% podíl z výkupného.

Zatím bylo zveřejněno pouze osm obětí na extortion stránce v darknetu, což může signalizovat fázi testování či posilování technické infrastruktury skupiny. Útoky obvykle začínají phishingovými e-maily s infikovanými přílohami nebo odkazy.

Zavedení „WIPEMODE“ signalizuje důležitou změnu v motivaci útočníků – zatímco klasický ransomware motivuje k platbě možností obnovy, destruktivní ransomware vytváří novou kategorii útoků, kde je i zaplacení výkupného zbytečné.

Pro firmy to znamená nutnost zavést striktní zálohovací politiku s offline zálohami, posílit ochranu proti phishingu a sociálnímu inženýrství, detekovat a reagovat na podezřelé příkazové parametry a chování (např. /WIPEMODE) a pravidelně testovat obnovitelnost dat a incident response plány.

Zdroje: bleepingcomputer.com

Zdroj ilustračního obrázku: vygenerováno pomocí AI