Anubis adiciona funcionalidade de destruição de ficheiros
A operação de ransomware-as-a-service (RaaS) Anubis adicionou ao seu malware de encriptação de ficheiros um módulo de limpeza, que destrói os conteúdos dos ficheiros capturados. Com esta nova funcionalidade, torna-se impossível recuperar os dados, mesmo que a vítima pague o resgate.
Este "ransomeware" Anubis é uma operação relativamente nova, observada pela primeira vez em dezembro de 2024, e que se tornou mais ativa no início de 2025.
O que é ransomware-as-a-service (RaaS)
Ransomware-as-a-service (RaaS) é um modelo em que os criadores de "ransomware" fornecem o "malware" a outras pessoas com intenções criminosas em troca de uma percentagem dos lucros. Os operadores tratam da parte técnica e os afiliados (quem compra este RaaS) ficam responsáveis por distribuí-lo e fazer a extorsão das vítimas. Este modelo tem contribuído para o aumento da frequência e sofisticação dos ataques nos últimos tempos.
Como funciona este programa de afiliados?
Em fevereiro, os operadores do Anubis lançaram um programa de afiliados, onde criminosos podem juntar-se à operação em troca de uma parte dos lucros. O grupo fornece as ferramentas, e os afiliados espalham o vírus e fazem a cobrança dos resgates.
Há 3 programas que estes cibercriminosos podem escolher:
- O Anubis Ransomware, é o programa principal. Neste os afiliados recebem 80% do valor do resgate cobrado às vítimas. O ransomware funciona em Windows, Linux, entre outros,e consegue espalhar-se sozinho dentro da rede da empresa e é fácil de controlar através de um painel online. Tudo indica que os afiliados também podem publicar dados roubados no blog de Anubis para pressionar as vítimas a pagar.
- O Anubis Data Ransom é feitopara quem já tem dados roubados de empresas. O afiliado recebe 60% dos lucros mas para serem aceites neste programa, os dados têm de ser exclusivos, ter menos de seis meses e considerados interessantes para expor. O Anubis ainda juda por cima, ao cria artigos baseados nos ficheiros roubados e ameaça notificar diversas autoridades como o RGPD (Regulamento Geral sobre a Proteção de Dados) ou os próprios clientes da empresa. Se a empresa decidir não pagar, os dados são tornados públicos.
- O programa Accesses Monetization é para quem tem acessos a palavras-passe ou credenciais de empresas. O afiliado recebe 50% do lucro se esses acessos forem usados para lançar um ataque. As empresas têm de estar localizadas na Europa, EUA, Canadá ou Austrália, e não podem ter sofrido um ataque recentemente. Também não são aceites alvos de setores como educação, governo ou ONGs.
Como funciona o novo modo de limpeza?
Segundo a TrendMicro, que encontrou esta funcionalidade, o comportamento destrutivo é ativado pelo comando ‘/WIPEMODE’. Assim que é ativada, esta ferramenta mantém os nomes dos ficheiros e a estrutra das pastas mas apaga o conteúdo de todos eles.
Como se pode proteger destes ataques
Os ataques do Anubis começam frequentemente através de emails de phishing com links ou anexos maliciosos.
Para evitar ser alvo de "ransomwares" deste tipo, é essencial:
-
Fazer backups regulares dos dados importantes e guardá-los offline,
-
Atualizar todos os sistemas e softwares com frequência,
-
Evitar clicar em links ou abrir anexos suspeitos, especialmente em emails,
-
Usar soluções de segurança confiáveis, como antivírus com proteção contra ransomware,
-
Aplicar autenticação multifator, principalmente em acessos administrativos e
-
Fazer ações de formação frequentes com os colaboradores da sua empresa para reconhecer tentativas de phishing e outros sinais de ataque.
