Σαν να μην ήταν ήδη αρκετά κρίσιμη η απειλή από τις γνωστές συμμορίες ransomware, με το Ομοσπονδιακό Γραφείο Ερευνών (FBI) να εκδίδει προειδοποιήσεις καθώς οι επιθέσεις εκτοξεύονται και τα λύτρα απαιτούνται σε εξωφρενικά ποσά, μια νέα πλατφόρμα ransomware-as-a-service έρχεται να ανεβάσει ακόμη περισσότερο τα ρίσκα.
Αυτήν τη φορά, εκτός από την κλοπή δεδομένων και την κρυπτογράφηση αρχείων, οι επιτιθέμενοι της Anubis εγκαθιστούν έναν προσαρμοσμένο καταστροφέα αρχείων που μπορεί να τα διαγράψει μόνιμα και αμετάκλητα, ανά πάσα στιγμή, κατά την κρίση των χάκερ.
Πώς λειτουργεί το συγκεκριμένο ransomware?
Όπως αναλύει ο Davey Winder, υπήρξαν κάποιες αξιοσημείωτες επιτυχίες στην αποδιοργάνωση των επιθέσεων ransomware τον τελευταίο καιρό, με δυνατά χτυπήματα από το FBI και τις Μυστικές Υπηρεσίες, αλλά και από χάκερ που επιτέθηκαν σε μερικές από τις πιο οργανωμένες εγκληματικές ομάδες ransomware.
Το πρόβλημα είναι ότι καθώς μια ομάδα διαλύεται ή εξουδετερώνεται, μια άλλη αναδύεται για να πάρει τη θέση της στην κυβερνοεγκληματική ιεραρχία. Και αυτές οι νέες ομάδες συχνά φέρνουν μαζί τους νέες και ανησυχητικές μεθόδους επίθεσης. Τέτοια είναι η περίπτωση της πλατφόρμας Anubis ransomware-as-a-service.
«Η Anubis είναι μια ανερχόμενη ομάδα ransomware-as-a-service που προσθέτει ένα καταστροφικό στοιχείο στο τυπικό μοντέλο διπλού εκβιασμού, με τη δυνατότητα διαγραφής αρχείων», ανέφεραν οι ερευνήτριες απειλών της Trend Micro, Maristel Policarpio, Sarah Pearl Camiling και Sophia Nilette Robles, σε νέα αναφορά με τεχνική ανάλυση του συγκεκριμένου ransomware. Προσπαθώντας να διαφοροποιηθεί από άλλες επιχειρήσεις ransomware-as-a-service και να ενισχύσει την πίεση προς τα θύματα, η Anubis χρησιμοποιεί έναν καταστροφέα αρχείων που, σύμφωνα με τις ερευνήτριες, είναι «σχεδιασμένος ώστε να σαμποτάρει τις προσπάθειες ανάκτησης ακόμη και μετά την κρυπτογράφηση».
Ο καταστροφέας αυτός χρησιμοποιεί την παράμετρο /WIPEMODE για να διαγράψει μόνιμα τα περιεχόμενα των αρχείων και να αποτρέψει οποιαδήποτε προσπάθεια αποκατάστασης.
Αντιμετώπιση της απειλής Anubis ransomware
Γνωρίζουμε ότι οι επιτιθέμενοι της Anubis χρησιμοποιούν διάφορες μεθόδους για να εγκαταστήσουν το ransomware και να ενεργοποιήσουν τα χαρακτηριστικά του, όπως phishing, εντολές μέσω γραμμής εντολών και ανύψωση προνομίων, εκτός από τη δυνατότητα διαγραφής αρχείων που αναφέρθηκε ήδη. Οι στρατηγικές μετριασμού, επομένως, είναι σχετικά απλές.
Ας ξεκινήσουμε με το βασικό: για να μετριάσετε τον αντίκτυπο από τον καταστροφέα αρχείων, κάντε αντίγραφα ασφαλείας και κάντε τα τώρα. Η διασφάλιση ότι διαθέτετε πρόσφατα offline και ακόμη και off-site αντίγραφα ασφαλείας είναι η καλύτερη άμυνά σας απέναντι στο Anubis eraser ransomware.
Τα υπόλοιπα μέτρα είναι επίσης γνωστά και αναφέρονται από την Trend Micro:
- Μην κατεβάζετε συνημμένα, μην κάνετε κλικ σε συνδέσμους και μην εγκαθιστάτε εφαρμογές εκτός αν η προέλευση είναι επαληθευμένη και αξιόπιστη.
- Εφαρμόστε φιλτράρισμα ιστού για να περιορίσετε την πρόσβαση σε γνωστούς κακόβουλους ιστότοπους.
- Περιορίστε τα διοικητικά δικαιώματα και τα προνόμια πρόσβασης στους υπαλλήλους μόνο όταν είναι απολύτως απαραίτητα.
- Επανεξετάζετε τακτικά και προσαρμόζετε τις άδειες ώστε να ελαχιστοποιείται ο κίνδυνος μη εξουσιοδοτημένης πρόσβασης.
- Διασφαλίστε ότι όλα τα προγράμματα ασφαλείας ενημερώνονται τακτικά και πραγματοποιείτε περιοδικούς ελέγχους για την αναγνώριση ευπαθειών.
Αν ακολουθήσετε όλα αυτά, η απειλή από το Anubis ransomware γίνεται πολύ λιγότερο τρομακτική. Αυτό όμως δεν σημαίνει ότι μπορεί να αγνοηθεί – κάτι τέτοιο θα ήταν μια πολύ κακή και επικίνδυνη επιχειρηματική απόφαση.
