Anubis RaaS 恶意软件：网络犯罪黑社会的双刃剑威胁

不同类型的数字威胁

一种名为Anubis的勒索软件因其罕见且危险的加密和文件销毁功能组合，正在网络安全领域掀起波澜。与通常加密数据并索要赎金的传统勒索软件不同，Anubis 还引入了一种不可逆擦除数据的模式，即使受害者决定支付赎金，也无法恢复数据。

Anubis 于 2024 年 12 月首次被发现，目前已在医疗保健、酒店和建筑等多个行业造成受害者。美国、加拿大、澳大利亚和秘鲁等国家均已报告其目标。如此广泛的受害者群体凸显了该恶意软件的机会主义性质和全球范围的攻击范围。

Anubis 的与众不同之处

Anubis 采用勒索软件即服务 (RaaS) 模式运营，允许不同的参与者（或“关联方”）使用恶意软件，并收取一定比例的利润。该模式的一大亮点在于其灵活性。关联方可定制收益分成方案：支付赎金可获得 80% 的分成，数据勒索方案可获得 60% 的分成，而出售受感染系统访问权限则可获得 50% 的分成。

该恶意软件的双重威胁能力源自一个特定的命令行参数——WIPEMODE ，该参数允许攻击者永久擦除文件。此过程将文件大小缩减至0KB，同时保留原始名称和扩展名，使文件无法使用，从而造成文件完好的假象。这种策略会给受害者施加更大的压力，使他们更有可能迅速满足赎金要求，以期挽回已经丢失的数据。

无需连接，却精巧

尽管与之前的恶意软件毒株和工具（包括一款安卓银行木马以及与臭名昭著的FIN7组织相关的基于Python的后门）同名，但这个Anubis变种似乎与这些威胁完全无关。相反，它代表着一个独立的行动，很可能是独立开发的，其重点是通过隐身和持久性来最大化影响。

初步调查显示，该恶意软件在早期测试阶段最初名为Sphinx ，后来为了公开部署而更名为Anubis 。开发者似乎有意与之前同名的恶意软件划清界限，可能是为了避免混淆或避免归属问题。

传递方法和攻击链

Anubis 通常通过钓鱼邮件入侵系统，这是许多现代网络攻击的常见入口。一旦进入网络，恶意软件操作员就会迅速行动：提升用户权限、侦查系统、删除卷影副本（Windows 的内置文件备份机制），然后加密或擦除数据。

这些协调一致的步骤表明，他们采取了一种精心策划的方法，其目的不仅在于窃取或锁定数据，还在于消除安全网，使补救变得困难，并进一步加大受害者的谈判压力。

对企业和个人的更广泛的影响

像Anubis这样的勒索软件的出现，预示着网络犯罪令人担忧的演变。数据加密与不可逆破坏的结合意味着，企业不能再想当然地认为支付赎金就能保证数据恢复。这也凸显了更强大的备份策略、多层网络安全防御以及更好的员工网络钓鱼意识培训的必要性。

RaaS 平台的使用进一步使情况复杂化，因为它甚至使低技能的参与者也能参与复杂的攻击，从而大大扩大潜在威胁的范围。

紧急呼吁做好准备

虽然Anubis目前似乎仅限于特定行业和地理区域，但其特性表明，如果不加以控制，它可能会传播得更广。RaaS模式，加上丰厚的收入分成和可定制的部署选项，使其成为全球潜在攻击者眼中极具吸引力的工具。

这一进展及时提醒各组织机构，需要重新审视其网络安全政策，投资于检测工具，最重要的是，维护关键数据的安全离线备份。在数字威胁不断演变的环境中，做好准备不仅是最佳实践，更是必需。

最后的想法

Anubis 代表着勒索软件策略的转变，勒索不再是唯一目标——破坏如今占据了核心地位。随着网络犯罪手段的不断演变，我们的防御能力也必须随之提升。在瞬息万变的网络安全格局中，保持信息灵通、保持警惕、积极主动，对于应对这一新局面至关重要。