يدمر فيروس الفدية أنوبيس الملفات حتى بعد الدفع

تجذب مجموعة الفدية الجديدة التي تُدعى أنوبيس الانتباه لهجماتها المزدوجة الخطيرة.

تختلف مجموعة الفدية Anubis عن الفدية القياسية بوجود ميزة مسح الملفات، مما يجعل الاستعادة مستحيلة، حتى عندما يدفع الضحايا الفدية.

“أنوبيس هو عملية Ransomware-as-a-Service (RaaS) ناشئة تجمع بين تشفير الملفات وتدميرها – إمكانية مزدوجة نادرة ومهددة”، هكذا أفاد الباحثون في Trend Micro.

تم رصده لأول مرة في ديسمبر 2024، عندما كان يعمل تحت اسم Sphinx. أجرى المطورون هجومًا شاملاً على القطاعات الصحية والبناء والهندسة في الولايات المتحدة وكندا وبيرو وأستراليا.

تعمل برنامج الشراكة Anubis على المنتديات الروسية اللغة وتوفر عدة تدفقات للإيرادات للمجرمين الإلكترونيين من خلال الابتزاز البيانات، ومبيعات الوصول، والهجمات الرهائن التقليدية. كما لاحظ الباحثون، “كل الهياكل التي اقترحوها لمشاركة الإيرادات مفتوحة للتفاوض للتعاون طويل الأمد.”

يدخل نظام البرامج الخبيثة الشبكات من خلال رسائل الصيد الإلكتروني، مع التحقق من امتيازات المسؤول قبل المتابعة. يستخدم البرنامج الخبيث التشفير ECIES لقفل الملفات، ولديه أيضا ميزة اختيارية لمحو محتويات الملف، مما يؤدي إلى ملفات فارغة لا يمكن استعادتها.

تحذر الرسالة المشفرة، التي تحمل العنوان RESTORE FILES.html، الضحايا من الكشف عن البيانات إلا إذا قاموا بالدفع. يظهر شعار أنوبيس على خلفيات النظام أثناء الهجمات، لكن التعديل فشل أثناء الاختبار.

يقول الخبراء إن وظيفة مسح الملفات خطيرة بشكل خاص. “هذه النزعة الدمارية تضيف ضغطاً على الضحايا وترفع من مستوى المخاطرة في هجوم مدمر بالفعل،” كتبوا.

للدفاع ضد أنوبيس، يوصي الخبراء بأخذ نسخ احتياطية للبيانات بشكل غير متصل بالإنترنت، وتحديث البرامج بانتظام، وتحديد الوصول للمسؤولين، وتدريب الطاقم على التعرف على عمليات الاحتيال الإلكتروني. يجب على المؤسسات تنفيذ طبقات أمان متعددة، والتي تتضمن أدوات تحدد السلوك الشاذ للنظام في مرحلة مبكرة.