Anubisは、新興のRansomware-as-a-Service(RaaS)です。
2024年12月頃から活動が観測されています。
活動開始当初は別のRaaSグループからの単純な分離に見え、特に目新しい特徴はありませんでした。
しかし最近他のRaaSとは異なる状態に変化してきていることが確認されました。
- 破壊機能の追加
これまでのよくあるRaaSの持つ機能は、基本的には、暗号化して脅迫、と、公開すると脅迫、でした。
「暗号化したから使えないぞ、困っただろ、金を払え。」
「重要データを持ち出したぞ、公開するぞ、困っただろ、金を払え。」
といった具合です。
ここにさらに脅迫方法を追加しています。
「金を払わずに復号化を試すなよ、破壊するぞ、困るだろ。」
マルウェアの追加したコマンドラインオプションの効能で、操作対象範囲のファイルを破壊的に変更する機能が実装されました。
この破壊機能が動作し歌場合、破壊後の操作対象範囲のディレクトリには破壊活動前と同じようにファイルが存在した状態になりますが、もともとあったファイルはそこにはなく、ファイルサイズがゼロのファイルのみがある状態に破壊されます。
単に対象ファイルを削除するような動作の場合は削除されたものを復元させることが可能な場合もありそうですが、この破壊機能は破壊後の復旧が容易ではない内容で実装されているようです。
このWiper機能以外の全体の動きとしては、よくあるRaaSのものとなっています。
初期アクセス、特権昇格、ボリュームシャドウコピーサービスの無効化、安全機構の停止、ファイルの暗号化、です。
犯罪者には金銭は支払わない、という方針で考える場合、従来のRaaSによる被害時の状態と困った事態にある状況には大きな変化はないとも考えられますが、暗号化されてしまっただけでなくそれを破壊されてしまうかもしれない、というのは被害者の心理的には支払うことを決断させるに至る追加の材料となってしまいそうです。
このAnubisの活動の被害者はまだ多くありません。
しかし現在も活動が継続されていますので、今後は被害が広がっていくことが予想されます。
基本的な安全対策を徹底することで、対策していくことになるでしょう。
準備をしっかりして、日々のパッチケイデンス維持や関係者の意識改善に取り組んでいきましょう。
Anubis: A Closer Look at an Emerging Ransomware with Built-in Wiper
https://www.trendmicro.com/en_us/research/25/f/anubis-a-closer-look-at-an-emerging-ransomware.html
| この記事をシェア |
|
|---|
