在當下復雜且變幻莫測的網絡安全形勢中，一個名為 Anubis 的全新勒索軟件組織已強勢登場，迅速成為網絡安全領域里令人矚目的重大威脅。

自 2024 年底起，Anubis 便開始活躍起來。它運用先進技術，具備在多個平臺上運行的能力，這些平臺涵蓋了 Windows、Linux、NAS 以及 ESXi 環境。該組織借助勒索軟件即服務（RaaS）以及其他基于聯盟的貨幣化模式，不斷拓展自身的影響力范圍。

技術能力與目標平臺

據了解，Anubis 勒索軟件是基于 ChaCha + ECIES 加密算法開發而成的，這一算法賦予了它極為強大的數據加密能力。它能夠針對各種環境中的 x64/x32 架構展開攻擊，并且能夠將權限提升至 NT AUTHORITY\SYSTEM 級別，從而實現對系統更深層次的訪問。此外，該惡意軟件還具備自我傳播的功能，可以高效地對整個域進行加密操作。而所有這些功能，均通過專門為聯屬會員設計的、操作便捷的網絡面板來進行管理。Anubis 集團將業務重點聚焦于關鍵行業，其中醫療保健和工程領域成為了他們的主要目標。近期，澳大利亞、加拿大、秘魯以及美國的一些組織已不幸淪為其受害者。值得留意的是，在已確認的四名受害者當中，有兩名來自醫療保健行業，這一情況凸顯出該組織對敏感數據行業存在潛在的高度關注。

聯盟計劃：多樣化的盈利模式

為了吸引網絡犯罪分子與之合作，Anubis 推出了一系列聯盟計劃：

· 勒索軟件即服務（RaaS）：參與該計劃的聯盟會員，若成功部署 Anubis 勒索軟件，將能夠獲得高達 80% 的贖金分成。

· 數據勒索計劃：在此模式下，主要通過以公開曝光所竊取數據作為威脅手段，將這些數據貨幣化。關聯公司在此計劃中可獲得 60% 的收入，但被盜數據必須符合特定標準，比如具備排他性和相關性。

· 訪問貨幣化計劃：初始訪問經紀人可以向 Anubis 出售公司憑證，進而獲取 50% 的收入分成。該計劃還包含詳細的受害者分析環節，目的在于最大程度地提升勒索籌碼。

這些聯盟計劃構建起了一套結構完善的商業模式，旨在通過多元化的收入來源，實現盈利能力的最大化。

據 Kela 介紹，Anubis 的運作方式極為復雜。他們會在隱藏的博客頁面上發布關于受害者的調查文章，試圖以此迫使相關組織支付贖金。一旦談判破裂，該組織就會在其博客或者社交媒體平臺上公開發布被盜數據。

Anubis博客首頁截圖

此外，他們還會通知監管機構以及受影響的各方，以此加大對受害者的壓力。該組織的代表以 “superSonic” 和 “Anubis__media” 等化名活躍于俄語網絡犯罪論壇，如 RAMP 和 XSS。從他們在論壇上發布的帖子能夠看出，他們此前極有可能作為其他團體的成員，積累了豐富的勒索軟件操作經驗。

Anubis 的出現，充分彰顯了勒索軟件威脅正呈現出不斷演變的特性。他們所具備的技術專長，加之創新的商業模式以及對關鍵領域的重點關注，使其成為了一個實力強勁的對手。在此，建議各個組織務必加強網絡安全防御措施，時刻對這一新興的威脅保持高度警惕。

參考及來源：https://gbhackers.com/new-anubis-ransomware-targets-windows-linux-nas-and-esxi/