HomeNews* Un ransomware émergent nommé Anubis possède une fonctionnalité destructive qui peut à la fois chiffrer et effacer définitivement les fichiers des victimes.
Anubis cible des organisations dans des secteurs tels que la santé, l'hôtellerie et la construction aux États-Unis, au Canada, au Pérou et en Australie.
Ce ransomware prend en charge un programme d'affiliation flexible avec des répartitions de revenus négociables allant jusqu'à 80 % pour les affiliés.
Les attaquants utilisent des e-mails de phishing pour accéder, élever les privilèges et peuvent effacer des fichiers au-delà de la récupération, augmentant la pression sur les victimes.
La découverte fait suite à des rapports sur de nouvelles infrastructures liées au groupe FIN7 utilisant de fausses mises à jour logicielles pour livrer des logiciels malveillants.
Une nouvelle forme de ransomware appelée Anubis est apparue, avec la capacité de chiffrer des fichiers et également de les détruire définitivement si une rançon n'est pas payée. Anubis est devenu actif en décembre 2024 et a depuis ciblé des organisations dans des secteurs tels que la santé, l'hôtellerie et la construction aux États-Unis, au Canada, au Pérou et en Australie.
Publicité - Les chercheurs de Trend Micro affirment que le ransomware comprend un « mode d’effacement » spécial qui efface complètement les fichiers, rendant la récupération impossible même si les victimes tentent de payer la rançon. « Le ransomware dispose d’un « mode d’effacement », qui efface définitivement les fichiers, rendant la récupération impossible même si la rançon est payée », selon les chercheurs de Trend Micro Maristel Policarpio, Sarah Pearl Camiling et Sophia Nilette Robles dans un rapport récent.
Anubis fonctionne comme un (RaaS) de ransomware-as-a-service. Il gère un programme d’affiliation avec des partages de revenus négociables, permettant aux affiliés de prendre jusqu’à 80% de la rançon payée par les victimes. Les systèmes alternatifs d’extorsion de données et de vente d’accès offrent respectivement des divisions 60-40 et 50-50. Les chercheurs expliquent que les affiliés d’Anubis utilisent des e-mails de phishing pour obtenir un accès initial, élever les privilèges des utilisateurs, supprimer les copies de sauvegarde (called les copies) fantômes de volume, puis chiffrer ou effacer les fichiers. Lorsqu’il est en « mode d’effacement », le contenu des fichiers est détruit, réduisant leur taille à zéro tout en laissant les noms et les extensions de fichiers intacts.
« Le ransomware inclut une fonction d'effacement utilisant le paramètre /WIPEMODE, qui peut supprimer définitivement le contenu d'un fichier, empêchant toute tentative de récupération », a noté Trend Micro. Cette capacité de double menace est considérée comme rare et augmente la probabilité que les victimes paient.
Il est important de noter que ce ransomware Anubis n'a aucun lien avec un cheval de Troie bancaire Android ou avec le groupe de hackers FIN7, qui utilise le même nom pour d'autres logiciels malveillants.
Dans des développements connexes, la société de renseignement sur les menaces Recorded Future a signalé une nouvelle infrastructure associée à FIN7, dont certaines prétendent être des produits logiciels légitimes pour propager l'outil d'accès à distance NetSupport RAT. Les méthodes de distribution ont inclus de fausses pages de mise à jour de navigateur et de faux sites de téléchargement pour des logiciels comme 7-Zip.
Actuellement, seules des pages 7-Zip fausses ont été trouvées actives à partir d'avril 2025, selon le groupe Insikt de Recorded Future.
Publicité - #### Articles Précédents :
Hong Kong prévoit un nouvel élan pour les actifs numériques, vise le commerce tokenisé
Les actions adossées aux crypto-monnaies augmentent alors que Wall Street alimente une frénésie de trading
Uniswap (UNI) augmente de 7 %, franchit la résistance, vise un objectif de 10 $
DTCC envisage l'émission de stablecoins au milieu de la poussée pour la finance tokenisée
Coinbase Sponsorise l'anniversaire de Trump, le défilé militaire au milieu des manifestations
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Le ransomware Anubis émerge avec un rare mode de suppression et de chiffrement de fichiers double.
HomeNews* Un ransomware émergent nommé Anubis possède une fonctionnalité destructive qui peut à la fois chiffrer et effacer définitivement les fichiers des victimes.
Anubis fonctionne comme un (RaaS) de ransomware-as-a-service. Il gère un programme d’affiliation avec des partages de revenus négociables, permettant aux affiliés de prendre jusqu’à 80% de la rançon payée par les victimes. Les systèmes alternatifs d’extorsion de données et de vente d’accès offrent respectivement des divisions 60-40 et 50-50. Les chercheurs expliquent que les affiliés d’Anubis utilisent des e-mails de phishing pour obtenir un accès initial, élever les privilèges des utilisateurs, supprimer les copies de sauvegarde (called les copies) fantômes de volume, puis chiffrer ou effacer les fichiers. Lorsqu’il est en « mode d’effacement », le contenu des fichiers est détruit, réduisant leur taille à zéro tout en laissant les noms et les extensions de fichiers intacts.
« Le ransomware inclut une fonction d'effacement utilisant le paramètre /WIPEMODE, qui peut supprimer définitivement le contenu d'un fichier, empêchant toute tentative de récupération », a noté Trend Micro. Cette capacité de double menace est considérée comme rare et augmente la probabilité que les victimes paient.
Il est important de noter que ce ransomware Anubis n'a aucun lien avec un cheval de Troie bancaire Android ou avec le groupe de hackers FIN7, qui utilise le même nom pour d'autres logiciels malveillants.
Dans des développements connexes, la société de renseignement sur les menaces Recorded Future a signalé une nouvelle infrastructure associée à FIN7, dont certaines prétendent être des produits logiciels légitimes pour propager l'outil d'accès à distance NetSupport RAT. Les méthodes de distribution ont inclus de fausses pages de mise à jour de navigateur et de faux sites de téléchargement pour des logiciels comme 7-Zip.
Actuellement, seules des pages 7-Zip fausses ont été trouvées actives à partir d'avril 2025, selon le groupe Insikt de Recorded Future.