Le ransomware Anubis peut chiffrer les données, mais aussi les détruire !
Le ransomware Anubis est une menace à double tranchant : au-delà de chiffrer les données, ce logiciel malveillant peut aussi simplement et purement les détruire, rendant toute récupération impossible, même après le paiement d’une rançon.
Anubis : le ransomware qui efface tout
Les chercheurs de Trend Micro, Maristel Policarpio, Sarah Pearl Camiling et Sophia Nilette Robles, ont mis en lumière ce nouveau ransomware qui serait actif depuis décembre 2024. Proposé par ses opérateurs via un modèle “ransomware-as-a-service” (RaaS), le ransomware Anubis cible des secteurs sensibles comme la santé, l’hôtellerie et la construction. Le rapport de Trend Micro évoque des victimes en Australie, au Canada, au Pérou et aux États-Unis.
La particularité du ransomware Anubis, c’est la présence d’une fonctionnalité permettant d’effacer les données. “Le ransomware dispose d’un mode d’effacement, qui supprime définitivement les fichiers, rendant la récupération impossible même si la rançon est payée.“, peut-on lire. Ceci n’est pas sans rappeler les capacités des logiciels malveillants de type wiper, conçus pour détruire les données.
Cette fonctionnalité, activée via le paramètre , réduit la taille des fichiers à 0 Ko tout en conservant leurs noms, créant ainsi une illusion de présence tout en détruisant le contenu des fichiers. L’image ci-dessous illustre l’état des fichiers une fois que le ransomware a procédé à la suppression des données.
Une note de rançon pour appeler à la négociation
Pour le reste, les cybercriminels font usage de techniques assez classiques, comme l’utilisation de campagnes de phishing pour tenter d’obtenir un premier accès au réseau d’une entreprise. Le logiciel malveillant Anubis est aussi capable de chiffrer les données, via un système de chiffrement ECIES.
Il est intéressant de voir que la note de rançon n’évoque pas la destruction éventuelle des données, mais plutôt la publication des données exfiltrées.
Dans tous les cas, c’est une façon pour les cybercriminels de mettre encore plus de pression sur les victimes. Étant donné qu’Anubis est proposé à ses affiliés en tant que RaaS, cela leur offre différentes possibilités lors des attaques…
“Sa capacité à chiffrer, mais aussi à détruire définitivement les données, accroît considérablement la pression sur les victimes, les incitant davantage à céder.“, précisent les chercheurs dans leur rapport.