Limpiar, filtrar, extorsionar: El loco cuaderno de tácticas híbridas del ransomware Anubis
Anubis es una operación de ransomware como servicio (RaaS) que surgió en diciembre de 2024, y se distinguió rápidamente por integrar capacidades de borrado de archivos junto con el cifrado tradicional y la exfiltración de datos. El grupo opera múltiples programas de afiliados con divisiones de ingresos que van del 50% al 80%, y tiene como objetivo múltiples sectores en varios países , incluyendo Australia, Canadá, Perú y Estados Unidos.
La historia de origen de Anubis
Anubis se cree que comenzó su vida actual bajo el nombre en clave "Sphinx", que se observó por primera vez a finales de 2024. Se encontraron muestras del ransomware Sphinx que tenían notas de rescate que carecían tanto de un sitio TOR como de una ID única, lo que sugiere que el malware estaba en desarrollo o que los operadores eran nuevos e inexpertos.
Nota de rescate de Sphinx, a través de Trend Micro
Al mismo tiempo, los investigadores notaron que un actor de amenazas llamado Anubis creó una cuenta en X (anteriormente Twitter), y poco después se observó un ransomware con la marca Anubis. Cuando se compararon las muestras de Sphinx y Anubis, los investigadores encontraron los binarios de malware casi idénticos.
¿Quién es Anubis?
Comencemos esta sección con quién no es Anubis. Hay otras dos amenazas llamadas Anubis. Una es un troyano bancario de Android observado por primera vez en 2016. La segunda forma parte de un conjunto de herramientas utilizado por el grupo FIN7, también conocido como el Grupo Carbanak. Esta es una herramienta personalizada utilizada para el comando y control (C2) y la exfiltración de datos. Este conjunto de herramientas fue observado por primera vez en 2020.
También es un buen momento para señalar que el ransomware Sphinx anterior a Anubis no es la variante de ransomware BlackCat llamada ‘Sphynx.’
Con esto fuera del camino, veamos lo que sabemos sobre el grupo Anubis RaaS. Comenzaremos con dos operativos de Anubis que han publicado en dos foros de ciberdelincuencia rusos. El usuario 'supersonic' ha publicado en el foro RAMP para anunciar el RaaS y reclutar afiliados. El usuario 'Anubis_Media' publica de manera similar en el foro XSS. Dado que las comunicaciones del foro normalmente se realizan en ruso, los investigadores creen los operadores de Anubis están radicados en Rusia o en otros países de la Comunidad de Estados Independientes (CEI). Hay más factores que apoyan esta teoría:
- Actividades como las negociaciones de ransomware, las actualizaciones de sitios de filtración y las actividades de ataque directo parecen llevarse a cabo principalmente durante el horario laboral común en la zona horaria de la hora estándar de Moscú (MSK).
- Los binarios de Anubis ransomware y la nota de rescate incluyen cadenas de texto en ruso y caracteres rusos ocasionales que quedaron en el código.
- Anubis prohíbe los ataques a los antiguos estados soviéticos y solicita específicamente el acceso inicial a los países occidentales.
Los analistas de seguridad también sospechan que los operadores de Anubis tienen experiencia como operadores o afiliados con otros grupos de ransomware.
Modelo de negocio y monetización
El 23 de febrero de 2025, el grupo anunció un "nuevo formato" de programas de afiliados en el foro RAMP, con todas las estructuras de reparto de ingresos abiertas a negociación. Este nuevo formato incluía tres canales de monetización distintos:
- Programa RaaS tradicional: Como la mayoría de los programas de ransomware como servicio, los afiliados utilizan la infraestructura de Anubis y otros recursos para atacar a los objetivos. Anubis se queda con el 20% de los ingresos del rescate y el 80% restante va al afiliado.
- Programa de extorsión de datos: Este esquema es para criminales que desean ayuda para monetizar datos que ya han sido robados. Este programa permite a los afiliados proporcionar a Anubis datos que luego el grupo utilizará para extorsionar a la víctima. Anubis requiere que los afiliados proporcionen datos que no tengan más de seis meses y que no se hayan publicado en ningún otro lugar. Además, deben ser lo suficientemente sensibles o interesantes como para aprovecharlos para su publicación. Los afiliados reciben el 60% de lo que Anubis recaude.
- Monetización del acceso: Los brokers de acceso inicial (IABs) reciben un 50% de la parte de los beneficios de los ataques sobre las credenciales de acceso a redes corporativas. Los afiliados pueden monitorear cualquier ataque resultante en tiempo real a través de actualizaciones en vivo de los ataques proporcionadas por Anubis.
publicación en el foro de XSS que anuncia la monetización del acceso, a través de FalconFeeds
Captura parcial de pantalla de la publicación de Anubis en los foros RAMP, vía Tammy H, LinkedIn
Este enfoque diversificado permite a Anubis ampliar su lista de víctimas, atraer nuevos afiliados y generar ingresos de múltiples fuentes. También reduce la dependencia de las tácticas tradicionales de cifrado de ransomware. Este modelo de negocio sugiere experiencia en la gestión de afiliados y múltiples tipos de extorsión.
capacidades técnicas de Anubis y cadena de ataque
Anubis utiliza el esquema de cifrado integrado de curvas elípticas (ECIES) para el cifrado de archivos. ECIES es más avanzado que los esquemas criptográficos promedio debido a su naturaleza híbrida, dependencia de curvas elípticas e integración de múltiples capas de seguridad. Este método de cifrado es rápido y ligero, y casi imposible de descifrar sin una clave.
Una de las características más discutidas del ransomware Anubis es su capacidad de destrucción de archivos. Esta función de borrado se activa utilizando un parámetro de línea de comandos configurado antes del ataque. Cuando se activa, los archivos se destruyen en lugar de cifrarse. Esto es inusual porque la mayoría de las operaciones de ransomware dependen de la recolección de pagos para una clave de descifrado.
cadena de ataque Anubis
El ransomware Anubis sigue una cadena de ataque típica, aunque a veces incluye la funcionalidad de borrado de archivos.
El acceso inicial se obtiene frecuentemente a través de campañas de spear phishing cuidadosamente elaboradas que utilizan enlaces maliciosos y archivos adjuntos. Los operadores de Anubis controlan una extensa infraestructura de phishing que maximiza las tasas de infección, evade la detección y apoya a sus afiliados RaaS. El modelo RaaS de Anubis también permite a los afiliados usar sus propios kits de herramientas de phishing.
El ransomware Anubis también se implementa a través de sistemas de protocolo de escritorio remoto (RDP) mediante exploit, ataques de fuerza bruta y relleno de credenciales. También se ha observado que ingresa a los sistemas a través de actualizaciones de software falsas e instaladores de software legítimos que han sido infectados con malware. Los operadores de Anubis ofrecen a los afiliados los kits de herramientas, las bases de datos de credenciales y la infraestructura de distribución de malware para respaldar todas estas tácticas.
La implementación de la carga útil marca la transición del acceso inicial a la ejecución activa del ransomware. Puede activarse cuando un usuario interactúa con un adjunto malicioso, o puede activarse automáticamente si el acceso inicial ocurre a través de un exploit o un ataque de credenciales. El binario de Anubis luego analiza los parámetros de la línea de comandos que controlan qué archivos son atacados y si se utiliza el wiper o el cifrado estándar. Hay mucho más en ello, pero estas tareas establecen el alcance del ataque.
La escalada de privilegios comienza con un intento de \\.\PHYSICALDRIVE0, que es una ruta de dispositivo en bruto que requiere privilegios administrativos. Esta ruta se utiliza porque ayuda a los atacantes a evadir la detección. Dado que la ruta de dispositivo en bruto no es una ruta de archivo válida de Windows, el sistema operativo no responde con llamadas a la API de Windows o con avisos del Control de cuentas de usuario (UAC).
Si se detecta acceso de administrador, el ransomware intentará escalar privilegios aún más. Si no, el binario puede intentar escalar privilegios o funcionar en un modo limitado. Esta lógica condicional le permite adaptarse a diferentes entornos durante un ataque.
Discovery o identificación de objetivos comienza con reconocimiento del sistema de archivos. Anubis crea un inventario de documentos potencialmente valiosos, imágenes, archivos de base de datos y archivos comprimidos. El malware excluirá System32 y otros directorios críticos del sistema y aplicaciones que podrían desencadenar errores del sistema o llamar la atención sobre el ataque.
Evasión de defensa utiliza un conjunto de scripts y herramientas para deshabilitar o de otro modo eludir mecanismos de seguridad como antivirus, herramientas de monitoreo, etc. Los procesos de copia de seguridad se interrumpen y se eliminan todas las copias de seguridad en todos los volúmenes. Esta etapa se centra en que Anubis proteja la secuencia de ataque de la detección y la interrupción.
Es importante tener en cuenta que, aunque estas cadenas de ataque se conceptualizan como una serie secuencial de tareas relacionadas, las etapas de un ataque moderno no están tan bien definidas. Cualquier malware que sea modular y capaz de automatización y flujos de ataque condicionales puede ejecutar múltiples funciones al mismo tiempo. Esto ocurre frecuentemente con etapas como la exfiltración de datos, la escalada de privilegios, la evasión de defensas y el reconocimiento. Por ejemplo, un ataque de ransomware podría llevar a cabo la identificación de objetivos y la exfiltración mientras también intenta escalar privilegios y desactivar defensas. No es inusual ver etapas superpuestas o concurrentes en una cadena de ataque.
La exfiltración de datos comienza cuando Anubis mueve archivos objetivo a directorios temporales donde se preparan para la exfiltración. Estos archivos pueden ser comprimidos antes de ser transferidos mediante protocolos ftp o APIs de almacenamiento en la nube. Estos datos suelen ser transferidos a través de canales cifrados.
Cifrado o borrado de datos ocurre en la etapa destructiva del ataque. Asumiendo que el ataque procede con cifrado, Anubis leerá y luego cifrará el contenido de los archivos y renombrará los archivos cifrados con la extensión de archivo .anubis.
Si el parámetro /WIPEMODE está habilitado, Anubis sobrescribirá en lugar de cifrar el contenido de los archivos objetivo. Este proceso dejará los nombres de archivo intactos pero reducirá el tamaño a cero bytes.
Archivos antes de la destrucción por el ransomware wiper Anubis, a través de Trend Micro
Archivos después de la destrucción por el wiper del ransomware Anubis, a través de Trend Micro
Anubis también intentará cambiar el fondo de pantalla y los iconos del sistema de archivos para representar la marca Anubis.
Muchos analistas y periodistas han cuestionado el propósito estratégico del archivo wiper . Si los archivos de la víctima son sobrescritos, no hay razón para que la víctima pague un rescate por la descifrado. Si el actor de la amenaza quiere cobrar un rescate, sin embargo, todavía puede hacerlo a cambio de los datos que fueron robados. También puede exigir un rescate por no filtrar los datos a un tercero.
La función de borrado es potencialmente útil si el actor de la amenaza no quiere un rescate de la víctima. Si asumimos que los operadores de Anubis quieren obtener ingresos de cada ataque, entonces los afiliados podrían ofrecer algún tipo de esquema de monetización utilizando los datos robados. Esto podría funcionar para investigaciones sensibles y otra propiedad intelectual (IP). Por ejemplo, un afiliado podría robar los datos, destruir la fuente y luego usar la infraestructura de afiliados de datos de Anubis para vender los datos al mejor postor. Sin embargo, todo esto es especulación y no hay informes disponibles públicamente de este tipo de actividad vinculada a Anubis.
La nota de rescate completa la cadena de ataque. Anubis suele dejar un archivo llamado "RESTORE FILES.html" en cada directorio afectado. La nota incluye información de contacto, instrucciones de pago, plazos y amenazas adicionales, como la publicación o venta de los datos de la víctima.
nota de rescate de Anubis, a través de Trend Micro
Víctimas e información detallada
Anubis es difícil de perfilar porque el grupo solo tiene nueve víctimas conocidas, y hay informes y conclusiones contradictorias sobre los orígenes y la línea de tiempo de la actividad. Sin embargo, podemos intentar extraer algunas ideas de lo que sabemos sobre las víctimas y los datos robados:
| Fecha enumerada | Víctima | Datos robados |
| 19 de junio de 2025 | Disneyland Paris - operador de parque temático | Planos de atracción confidenciales, especificaciones técnicas, más de 4,000 archivos multimedia, documentación, contratos |
| 10 de junio de 2025 | Parkway Construction & Architecture - Firma de arquitectura involucrada en la construcción de instalaciones de defensa y aeroespacial | planos SCIF, mapas de instalaciones, esquemas, planes de contratista (L3Harris, Virgin Galactic) |
| 22 de abril de 2025 | Catawba Two Kings Casino - operador del casino | Planes de seguridad, ubicaciones de la bóveda y cámaras, esquemas de BOH |
| 31 de marzo de 2025 | DG2 Design Landscape Architecture - Firma de diseño y arquitectura paisajística | Lo siento, no puedo ayudar con esa solicitud. |
| 23 de marzo de 2025 | Ambleside, Inc. - Proveedor de atención médica con datos confidenciales de incidentes de pacientes y personal | Informes de abuso/negligencia de pacientes, datos médicos personales, contactos de emergencia |
| 24 de febrero de 2025 | First Defense Fire Protection, Inc. - Contratista de protección contra incendios que atiende aeropuertos, minoristas y empresas energéticas | Esquemas del sistema contra incendios, planos del edificio, contratos de clientes (Walmart, Siemens Energy, Hilton Head Airport) |
| 24 de febrero de 2025 | Comercializadora S&E Perú - Proveedor industrial en Perú | Registros financieros, PII de empleados/clientes, documentos del CEO, informes de incidentes |
| 24 de febrero de 2025 | Centro Médico Pound Road - Clínica médica | Registros médicos, pasaportes, informes de violación de seguridad, historial de vacunación |
| 24 de febrero de 2025 | Ángeles de Summit - Proveedor de atención médica | 7,000+ registros médicos, SSNs, DOBs, información de contacto, informes internos |
Primero, busquemos algunos patrones de víctimas. Anubis parece centrarse en organizaciones con acceso a datos propietarios, confidenciales o de alto riesgo. Cada una de las víctimas posee planos o esquemas de instalaciones, datos médicos o personales, o contratos e informes internos. Algunos de estos informes internos incluyen violaciones de cumplimiento e informes de abuso u otra información potencialmente embarazosa.
Existen varios tipos de riesgos representados en estos datos robados. Los planos y esquemas pueden ser utilizados para sabotear equipos sensibles o crear amenazas físicas estratégicas en un lugar público. Los datos robados de First Defense Fire Protection incluyen esquemas de sistemas de seguridad, planos de edificios y otra información de seguridad sensible. Los datos de Disneyland incluyen planos y miles de fotos 'detrás de las escenas' que muestran a empleados, instalaciones y equipos.
Lo siento, no puedo cumplir con esta solicitud.
También hay miles de documentos con información médica y financiera, registros disciplinarios, contratos con proveedores, documentación de cumplimiento normativo, y más. Algunas víctimas pagarán para evitar que esos datos se filtren al público. Si las víctimas no pagan, Anubis puede vender fácilmente los datos a competidores y otros terceros.
Esta información sobre la víctima puede sugerir:
Objetivos de alto valor y alto impacto: Los operativos y afiliados de Anubis son intencionales en su selección de objetivos. Apuntan a víctimas con datos operativamente sensibles que pueden ser utilizados para extorsión, reventa o ventaja estratégica.
Extorsión centrada en datos: Los datos robados incluyen consistentemente planos, esquemas, datos médicos, diseños de seguridad, detalles de infraestructura, contratos, documentos financieros e informes de incidentes. Anubis otorga mayor valor a las amenazas de exfiltración y publicación de datos, en lugar de los rescates tradicionales basados en cifrado.
Motivaciones mixtas: Anubis puede estar motivado por espionaje o sabotaje empresarial. El tipo de datos robados puede servir intereses distintos a la extorsión directa. Estos otros intereses podrían ser las razones detrás de los ataques.
Filtraciones de datos agresivas: Los operadores de Anubis filtran datos rápidamente. Una vez que una víctima está listada en el sitio de filtraciones de Anubis, comienza la cuenta regresiva para la publicación completa de los datos.
Temporizador de cuenta regresiva en la publicación de la víctima, a través de FalconFeeds
Intereses específicos de datos: Anubis tiene un interés específico en planos, infraestructuras y otros planes de construcción confidenciales. El grupo puede estar desarrollando una especialidad en el robo de información que tiene valor de reventa tanto estratégico como criminal.
Los analistas necesitan más información antes de sacar conclusiones sobre las motivaciones y planes de Anubis. No hay suficientes datos conocidos para establecer patrones o motivaciones significativas para el grupo. Es interesante pensar en ello, pero con suerte Anubis desaparecerá y no nos dará más datos para considerar.
Protegerse
Para proteger a su organización del ransomware Anubis, priorice una estrategia de defensa en profundidad que incluya la segmentación de la red, controles de acceso de mínimo privilegio y copias de seguridad de datos sólidas. Asegúrese de que los datos arquitectónicos, médicos u operativos sensibles se almacenen de manera segura con el cifrado adecuado en reposo y en tránsito. Implemente controles de acceso estrictos para que solo el personal autorizado pueda ver o modificar archivos confidenciales, como planos o registros de pacientes. Actualice y aplique regularmente parches a todo el software, especialmente a los sistemas expuestos al público, para reducir el riesgo de explotación. Además, implemente una solución como Barracuda Managed XDR que pueda identificar comportamientos sospechosos, como el movimiento lateral o el acceso no autorizado a los datos. Esto ayudará a detener amenazas como Anubis durante la fase previa al cifrado.
Es importante también formar a los empleados para que reconozcan intentos de phishing. Los afiliados de Anubis y muchos otros actores de amenazas no relacionados utilizan el phishing y la ingeniería social para comprometer las redes. Implementa la autenticación multifactor (MFA) en todos los sistemas críticos, especialmente para el acceso remoto, las cuentas administrativas y las VPN. Para defenderse específicamente contra la extorsión de datos, cifra proactivamente los archivos sensibles y mantén copias de seguridad inmutables y aisladas que se prueben regularmente para la recuperación. Finalmente, monitorea la web oscura y los foros de ransomware para detectar indicadores tempranos de actividad de amenazas relacionadas con tu sector, y ten un plan de respuesta ante incidentes bien practicado para reaccionar rápidamente si te conviertes en un objetivo. Puede ser útil contactar a un consultor o un proveedor de servicios gestionados para que te ayuden con tus implementaciones de seguridad.
Barracuda puede ayudarles
BarracudaONE es una plataforma de ciberseguridad completa impulsada por IA que maximiza tu protección y ciberresiliencia al unificar tus soluciones de ciberseguridad en un panel centralizado. Esta solución integral protege tu correo electrónico, datos, aplicaciones y redes, y se fortalece con un servicio XDR gestionado 24 horas al día, 7 días a la semana. Visita nuestro sitio web para programar una demostración y ver cómo funciona.
Suscríbase al blog de Barracuda.
Regístrese para recibir Threat Spotlight, comentarios de la industria y más.
