Underc0de

Anubis es una operación de ransomware como servicio (RaaS) que ha ganado notoriedad en el panorama de amenazas cibernéticas desde su aparición en diciembre de 2024. A pesar de su corta trayectoria, este malware ha llamado la atención por incorporar características especialmente destructivas que lo diferencian de otros ransomware conocidos.

No debe confundirse con el troyano bancario para Android del mismo nombre. Esta versión de Anubis está dirigida a sistemas de escritorio y redes empresariales, y ha sido identificada como una amenaza emergente por diversos investigadores de ciberseguridad.

Evolución de Anubis: de nuevo jugador a operador sofisticado

Desde principios de 2025, Anubis ha intensificado su actividad. El 23 de febrero, sus operadores anunciaron un programa de afiliados en el foro clandestino RAMP, lo que marca una estrategia clara de expansión y profesionalización. Según un informe de la firma de inteligencia KELA, el modelo de reparto ofrecido era atractivo:

• 80% de las ganancias para afiliados de ransomware.
• 60% para afiliados centrados en extorsión de datos.
• 50% para los brokers de acceso inicial.

Actualmente, la página de extorsión de Anubis alojada en la dark web enumera al menos ocho víctimas, una cifra modesta que podría aumentar conforme crece la confianza entre los cibercriminales en la eficacia del malware.

La novedad técnica más peligrosa: un módulo de borrado irreversible

Una de las funcionalidades más alarmantes introducidas recientemente es un módulo de limpieza (wiper) que destruye el contenido de los archivos cifrados, incluso si se paga el rescate. Según un informe publicado por Trend Micro, este comportamiento destructivo busca aumentar la presión sobre las víctimas para que paguen rápidamente, sin espacio para prolongar las negociaciones o resistirse.

¿Cómo funciona el wiper de Anubis?

El borrado de archivos se activa mediante el parámetro de línea de comandos /WIPEMODE, que requiere autenticación por clave. Una vez habilitado:

• El contenido de los archivos se borra completamente, reduciendo su tamaño a 0 KB.
• Se conservan los nombres de los archivos y la estructura de carpetas para simular que todo está intacto.
• El daño es irreversible: no se puede recuperar la información ni con herramientas forenses.

Esta táctica destructiva coloca a Anubis en una nueva categoría de ransomware, donde la recuperación de datos no es posible, aun si se cumplen las exigencias del rescate.

Características técnicas del malware Anubis

El análisis técnico de Trend Micro revela que Anubis cuenta con una serie de comandos avanzados al momento de ejecutarse:

• Elevación de privilegios para maximizar el control del sistema.
• Exclusión de directorios críticos, como los de sistema y programas, para evitar bloquear completamente el sistema operativo.
• Selección de rutas objetivo para el cifrado.
• Eliminación de copias sombra de volumen.
• Terminación de procesos o servicios que interfieran con el cifrado.

El sistema de cifrado utilizado es ECIES (Elliptic Curve Integrated Encryption Scheme), y se han identificado similitudes en la implementación con otros ransomware como EvilByte y Prince.

Señales de ataque: vectores de infección y síntomas

Los ataques de Anubis suelen iniciarse mediante campañas de phishing, utilizando correos electrónicos con enlaces maliciosos o archivos adjuntos infectados. Una vez dentro del sistema, el malware:

• Añade la extensión .anubis a todos los archivos cifrados.
• Crea una nota de rescate en formato HTML en cada directorio afectado.
• Intenta cambiar el fondo de escritorio (aunque esta acción suele fallar).

Estos indicadores permiten a los profesionales de seguridad identificar rápidamente un compromiso con este ransomware.

Anubis y la nueva generación de ransomware destructivo

Anubis representa una evolución en el modelo de ransomware como servicio (RaaS), no solo por su estructura de afiliados y sofisticación técnica, sino también por su enfoque destructivo. Al implementar un módulo de borrado que hace imposible la recuperación de datos, incluso tras el pago del rescate, los operadores buscan maximizar la presión sobre las víctimas y consolidarse como una amenaza seria en el ciberespacio.

Las organizaciones deben estar atentas a los indicadores de compromiso (IoC), reforzar sus medidas de ciberseguridad y priorizar estrategias de respaldo offline para mitigar el impacto de este tipo de amenazas.

Fuente: https://www.bleepingcomputer.com/