Anubis, c’est le nom d’un nouveau gang de ransomware qui a été repéré par les chercheurs de chez Kela et qui pourrait représenter une menace sérieuse dans les mois à venir. Voici ce que l’on sait à son sujet.
Les chercheurs de chez Kela ont fait la découverte du gang de ransomware Anubis, qui serait actif depuis le dernier trimestre de l’année 2024. Comme d’autres gangs, il opère sous la forme d’un service de type Ransomware-as-a-Service (RaaS) et il propose à ses futurs affiliés de nombreuses options.
Les chercheurs de chez Kela pensent que les pirates à l’origine de la création d’Anubis ont déjà une expérience significative dans le domaine des ransomwares. Tout semble bien organisé et bien ficelé, tant sur le développement du logiciel malveillant en lui-même que sur l’organisation du service RaaS. Cela n’est pas une bonne nouvelle et laisse entendre que ce ransomware pourrait faire de nombreuses victimes dans les mois à venir.
D’ailleurs, le malware en lui-même est capable de chiffrer les données sur différentes plateformes : Windows, Linux, ESXi (64 et 32 bits), ainsi que les NAS. Il s’appuie sur ChaCha+ECIES pour le chiffrement des données et le service propose la double extorsion, ce qui reste une pratique courante.
A l’heure actuelle, le site d’Anubis référence 4 victimes, dont une entreprise située au Pérou et une autre entreprise située aux Etats-Unis.
Source : Kela
Différentes offres proposées aux affiliés
Comme l’explique le rapport publié par Kela, le ransomware Anubis est associé à un véritable business model où les futurs affiliés peuvent choisir entre plusieurs offres : Anubis Ransomware, Data Ransom et Accesses Monetization.
La première option consiste à offrir 80% de la part de la rançon aux affiliés, tandis que le gang de ransomware Anubis empocherait les 20% restants. La seconde option correspond à un service de monétisation de données déjà volées.
“Les données doivent remplir les conditions suivantes : elles doivent être exclusives (c’est-à-dire qu’elles n’ont jamais été publiées auparavant sur le Clearnet ou le Darknet), la violation doit être récente (pas plus de six mois) et son contenu doit être jugé “intéressant pour la publication”.”, peut-on lire dans le rapport.
Enfin, la troisième option consiste à fournir aux cybercriminels d’Anubis les accès initiaux à une infrastructure. Ensuite, le gang de ransomware s’occupe du reste et il y aura un partage “des revenues” si l’opération aboutie : 50/50. Là encore, il semble qu’il y ait des critères d’éligibilités, et certains secteurs comme l’éducation et les organisations à but non lucratives sont exclues.
“La juridiction de la victime doit être les États-Unis, l’Europe, le Canada ou l’Australie, et l’entreprise ne doit pas avoir été attaquée par des groupes de ransomware au cours de l’année écoulée.”, peut-on lire.
Tout cela est quand même inquiétant… Cette menace sera à suivre en 2025.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.