Поделиться
Троян-шифровальщик для Android обзавелся модулем безвозвратного удаления файлов, исключающим восстановление данных
После некоторых шифровальщиков данные не удается восстановить, но, по-видимому, впервые такую программу оснащают дополнительным модулем, полностью исключающим восстановление информации.
Дорога в один конец
Шифровальщик Anubis обзавелся модулем безвозвратного удаления файлов, исключающим восстановление данных.
Вредонос под тем же названием существует под ОС Android, и тоже снабжен модулем шифрования, однако в этом случае речь идет о другом вредоносе: это сравнительно новый шифровальщик, предлагающийся по модели RaaS (шифровальщик-как-услуга). Впервые он был замечен в декабре 2024 г. 23 февраля его операторы опубликовали объявление о запуске партнерской программы на киберкриминальном форуме RAMP.
Как указывается в публикации компании KELA, чьи специалисты исследовали шифровальщик, он нацелен на операционные системы Windows и Linux, на сетевые накопители данных (NAS) и среды виртуализации ESXi x64/x32.
Согласно операторам вредоноса, он использует одновременно потоковый шифр ChaCha и схему шифрования на основе эллиптических кривых ECIES.
Партнерам, которые непосредственно осуществляют атаки с использованием шифровальщика, операторы Anubis предлагают 80% от каждой выплаты выкупа; вымогателям (которые крадут данные и требуют выкуп за них) - 60%, а брокерам первоначального доступа - 50%.
Страница вымогателя в даркнете на данный момент упоминает только восемь атакованных жертв.
Наличие модуля-вайпера значительно выделяет Anubis на фоне остальных шифровальщиков. Этот модуль обнаружили эксперты компании Trend Micro, проанализировав один из новейших сэмплов.
Модуль предназначен для «саботажа» попыток восстановления данных, в том числе после шифрования.
«Эта деструктивная составляющая позволяет усилить давление на жертв и работает на повышение ставок в рамках атаки, и без того наносящей колоссальный урон», - пишут исследователи.
Деструктивный модуль активируется через параметр командной строки /WIPEMODE, который требует аутентификации на базе предзаданного ключа.
Вайпер полностью опустошает файлы, сводя их размер к нулю килобайт. Структура каталогов и названия самих файлов не меняются, но восстановить невозможно уже ничего.
Вопрос эффективности
«Кибервымогательство уже не настолько эффективно, как пять-семь лет назад», - считает Александр Зонов, эксперт по информационной безопасности компании SEQ. «Медленнее, чем хотелось бы, но отрасль все-таки адаптируется и сопротивляется все эффективнее, а выкуп атакованные компании выплачивают все реже. Поэтому злоумышленники ищут новые способы оказывать давление на потенциальных жертв. Стоит помнить, однако, что в случае успешной атаки шифровальщика полного восстановления данных даже при выплате выкупа никто гарантировать не может».
Anubis поддерживает еще несколько команд, которые могут быть отданы при запуске. В их число входят повышение привилегий, исключение определенных каталогов и указание конкретных локаций для шифрования. По-видимому, целью является сохранение базовой работоспособности атакованной системы.
Зашифрованные файлы получают расширение .anubis. Шифровальщик пытается сменить обои на рабочем столе (не всегда успешно), и оставляет HTML-сообщение с требованием выкупа во всех затронутых каталогах.
Кроме того, Anubis удаляет теневые копии и отключает любые процессы, которые могут помешать шифрованию.
По данным специалистов Trend Micro, атаки Anubis начинаются с фишинговых писем, которые содержат вредоносные ссылки или вложения.
Этот вредонос не первый, кто использует ECIES: аналогичным образом этот метод шифрования реализован в EvilByte и Prince.
Присутствие вайпера, однако, является пока что уникальной отличительной чертой вредоносной программы. В прошлом, однако, наблюдался как минимум один шифровальщик - Cryptonite, - который на поверку работал как вайпер: даже если выкуп выплачивался, восстановить данные оказывалось невозможным.
На практике, впрочем, безвозвратные потери данных после атак шифровальщиков (лишенных средств для безвозвратного удаления файлов) - отнюдь не редкость. В середине 2024 г. компания Veeam опубликовала исследование, в котором указывала, что до 43% зашифрованных вредоносами данных восстановить оказывается невозможно. Аналитики отметили, что 96% атак направлены на резервные копии, и в 76% они оказываются успешными.
Поделиться
Короткая ссылка
