anubis-ransomware - RunkIntel

# Anubis Ransomware ## Descrição Anubis é uma operação **Ransomware-as-a-Service (RaaS)** emergente, lançada em dezembro de 2024, que combina **criptografia de arquivos** com um modo wiper opcional (`/WIPEMODE`) que destrói permanentemente o conteúdo dos arquivos. Esta combinação amplia a pressão de extorsão para além das táticas tradicionais de dupla extorsão. O malware é escrito em **Go** e utiliza **ECIES** (Elliptic Curve Integrated Encryption Scheme) para criptografia. > [!info] Não confundir > Este perfil refere-se à operação RaaS Anubis (2024+). **Não confundir** com o trojan bancário Android Anubis (2017+), que é uma ameaça completamente diferente. **Também conhecido como:** Anubis Ransomware, AnubisRaaS, superSonic (operador em fóruns) ## Modelo de Negócio O Anubis opera um **programa de afiliados flexível** promovido em fóruns de cibercrime pelo operador "superSonic", com três modalidades de monetização: | Modalidade | Split Afiliado | Split Anubis | |-----------|---------------|-------------| | Ransomware padrão | 80% | 20% | | Extorsão de dados | 60% | 40% | | Broker de acesso | 50% | 50% | | Negociação direta | 50% | 50% | ## Attack Flow 1. **Acesso inicial** - Spear-phishing com anexos maliciosos ou links de fontes confiáveis 2. **Reconhecimento** - Identificação de dados de alto valor no ambiente 3. **Escalação de privilégios** - Manipulação de tokens de acesso 4. **Preparação** - Deleção de Volume Shadow Copies; terminação de serviços 5. **Exfiltração** - Roubo de dados pré-criptografia para dupla extorsão 6. **Criptografia/Wipe** - Criptografia com ECIES (extensão `.anubis`) ou destruição via `/WIPEMODE` ## Técnicas Utilizadas ### Acesso Inicial - [[t1566-001-spearphishing-attachment|T1566.001 - Phishing: Spearphishing Attachment]] - Emails com anexos maliciosos ou links de fontes aparentemente confiáveis ### Escalação de Privilégios - [[t1134-002-create-process-with-token|T1134.002 - Access Token Manipulation: Creaté Process with Token]] - Criação de processos com tokens elevados ### Impacto - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - Criptografia ECIES de arquivos, com extensão `.anubis` - [[t1485-data-destruction|T1485 - Data Destruction]] - Modo wiper (`/WIPEMODE`) que reduz o conteúdo dos arquivos a 0 KB, mantendo nomes e diretórios intactos, impossibilitando recuperação - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - Deleção de Volume Shadow Copies - [[t1489-service-stop|T1489 - Service Stop]] - Terminação de serviços antes da criptografia ## Criptografia e Modo Wiper O Anubis utiliza o **Elliptic Curve Integrated Encryption Scheme (ECIES)**, um sistema híbrido com criptografia de chave pública para cifrar chaves simétricas (ex: AES), implementado via biblioteca Go pública (`github.com/ecies/go`). A implementação é similar ao [[EvilByte]] e [[Prince]] ransomware. ### Modo Wiper O parâmetro `/WIPEMODE` (autenticado com chave) reduz o conteúdo dos arquivos a **0 KB** enquanto mantém os nomes e a estrutura de diretórios. Isso torna a **recuperação impossível**, mesmo com chave de descriptografia, e adiciona pressão coercitiva extrema. Casos reportados em 2025 indicam que **mesmo vítimas que pagaram** tiveram dados destruídos. ## Alvos e Impacto na LATAM ### Setores Alvo - [[healthcare|Saúde]] - Dados sensíveis de pacientes - [[hospitality|Hospitalidade]] - Dados de clientes e operações - [[construction|Construção]] - Propriedade intelectual e projetos ### Geografia - **Austrália, Canadá, EUA** - Alvos confirmados - **[[Peru]]** - Vítimas reportadas na América Latina - O foco em [[healthcare|saúde]] e a presença de vítimas no Peru indicam potencial para expansão na LATAM ## Artefatos Durante a execução, o ransomware deposita: - `icon.ico` - Ícone customizado - `wall.jpg` - Imagem de wallpaper (alterada como indicador visual) - Ransom note com instruções de pagamento em criptomoeda - Logs de erro para debugging operacional ## Indicadores e Mitigação > [!warning] Recomendações > - Implementar backups offline/imutáveis - o modo wiper inválida backups online > - Bloquear anexos de tipos de arquivo perigosos no gateway de email > - Monitorar deleção de Volume Shadow Copies (`vssadmin delete shadows`) > - Detectar terminação em massa de serviços como indicador de pré-criptografia > - Segmentar redes para limitar movimentação lateral --- *Fontes: [Trend Micro](https://www.trendmicro.com/en/research/25/f/anubis-a-closer-look-at-an-emerging-ransomware.html), [Arete IR](https://areteir.com/resources/anubis-ransomware-group-global-threat), [BitSight](https://www.bitsight.com/blog/anubis-ransomware-group-overview-and-evolution), [The Hacker News](https://thehackernews.com/2025/06/anubis-ransomware-encrypts-and-wipes.html), [Picus Security](https://www.picussecurity.com/resource/blog/anubis-ransomware-targets-global-victims-with-wiper-functionality)*