Tin tức * Một phần mềm tống tiền mới có tên Anubis có tính năng phá hoại có thể vừa mã hóa vừa xóa vĩnh viễn các tệp của nạn nhân.
Anubis nhắm vào các tổ chức trong các lĩnh vực như chăm sóc sức khỏe, khách sạn và xây dựng tại Hoa Kỳ, Canada, Peru và Úc.
Phần mềm tống tiền này hỗ trợ một chương trình liên kết linh hoạt với tỷ lệ chia sẻ doanh thu có thể thương lượng lên đến 80% cho các đối tác.
Kẻ tấn công sử dụng email lừa đảo để truy cập, nâng cao quyền hạn và có thể xóa các tệp vượt quá khả năng phục hồi, gia tăng áp lực lên nạn nhân.
Việc phát hiện này diễn ra sau các báo cáo về cơ sở hạ tầng mới liên quan đến nhóm FIN7 sử dụng các bản cập nhật phần mềm giả để phát tán phần mềm độc hại.
Một hình thức phần mềm tống tiền mới có tên gọi Anubis đã xuất hiện, với khả năng mã hóa tệp và cũng có thể tiêu hủy vĩnh viễn chúng nếu không trả tiền chuộc. Anubis đã hoạt động từ tháng 12 năm 2024 và kể từ đó đã nhắm mục tiêu vào các tổ chức trong các lĩnh vực như chăm sóc sức khỏe, khách sạn và xây dựng ở Hoa Kỳ, Canada, Peru và Úc.
Quảng cáo - Các nhà nghiên cứu từ Trend Micro cho biết phần mềm tống tiền này bao gồm một "chế độ xóa" đặc biệt, xóa hoàn toàn các tệp, khiến việc phục hồi trở nên không thể ngay cả khi nạn nhân cố gắng trả tiền chuộc. "Phần mềm tống tiền này có một ‘chế độ xóa,’ xóa vĩnh viễn các tệp, khiến việc phục hồi trở nên không thể ngay cả khi tiền chuộc được trả," theo các nhà nghiên cứu Trend Micro Maristel Policarpio, Sarah Pearl Camiling và Sophia Nilette Robles trong một báo cáo gần đây.
Anubis hoạt động như một (RaaS) ransomware-as-a-service. Nó điều hành một chương trình liên kết với phân chia doanh thu có thể thương lượng, cho phép các chi nhánh nhận tới 80% số tiền chuộc mà nạn nhân phải trả. Các kế hoạch thay thế cho việc tống tiền dữ liệu và bán hàng truy cập lần lượt cung cấp 60-40 và 50-50 phân chia. Các nhà nghiên cứu giải thích rằng các chi nhánh của Anubis sử dụng email lừa đảo để có quyền truy cập ban đầu, nâng cấp đặc quyền của người dùng, xóa các bản sao lưu (called copies) shadow ổ đĩa, sau đó mã hóa hoặc xóa tệp. Khi ở "chế độ xóa", nội dung tệp sẽ bị hủy, giảm kích thước của chúng xuống bằng không trong khi vẫn giữ nguyên tên tệp và phần mở rộng.
“Phần mềm tống tiền bao gồm một tính năng xóa với tham số /WIPEMODE, có thể xóa vĩnh viễn nội dung của một tệp, ngăn chặn bất kỳ nỗ lực phục hồi nào,” Trend Micro cho biết. Khả năng đe dọa kép này được coi là hiếm và làm tăng khả năng nạn nhân sẽ trả tiền.
Cần lưu ý rằng phần mềm tống tiền Anubis này không có liên quan gì đến trojan ngân hàng Android hay đến nhóm hacker FIN7, nhóm này sử dụng cùng một tên cho các phần mềm độc hại khác.
Trong những diễn biến liên quan, công ty tình báo mối đe dọa Recorded Future đã báo cáo về cơ sở hạ tầng mới liên quan đến FIN7, một số trong số đó giả mạo là các sản phẩm phần mềm hợp pháp để phát tán công cụ truy cập từ xa NetSupport RAT. Các phương pháp phân phối đã bao gồm các trang cập nhật trình duyệt giả mạo và các trang tải xuống giả mạo cho phần mềm như 7-Zip.
Hiện tại, chỉ có các trang 7-Zip giả được phát hiện là hoạt động tính đến tháng 4 năm 2025, theo Nhóm Insikt của Recorded Future.
Quảng cáo - #### Bài viết trước:
Hồng Kông Lên Kế Hoạch Đẩy Mạnh Tài Sản Kỹ Thuật Số Mới, Nhắm Đến Giao Dịch Được Token Hóa
Cổ phiếu được hỗ trợ bởi crypto tăng vọt khi Phố Wall thúc đẩy cơn sốt giao dịch
Uniswap (UNI) Tăng 7%, Phá Vỡ Kháng Cự, Hướng Đến Mục Tiêu $10
DTCC xem xét phát hành stablecoin trong bối cảnh đẩy mạnh tài chính token hóa
Coinbase tài trợ sinh nhật Trump, diễu hành quân sự giữa các cuộc biểu tình
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Phần mềm tống tiền Anubis xuất hiện với chế độ xóa và mã hóa tệp kép hiếm có.
Tin tức * Một phần mềm tống tiền mới có tên Anubis có tính năng phá hoại có thể vừa mã hóa vừa xóa vĩnh viễn các tệp của nạn nhân.
Anubis hoạt động như một (RaaS) ransomware-as-a-service. Nó điều hành một chương trình liên kết với phân chia doanh thu có thể thương lượng, cho phép các chi nhánh nhận tới 80% số tiền chuộc mà nạn nhân phải trả. Các kế hoạch thay thế cho việc tống tiền dữ liệu và bán hàng truy cập lần lượt cung cấp 60-40 và 50-50 phân chia. Các nhà nghiên cứu giải thích rằng các chi nhánh của Anubis sử dụng email lừa đảo để có quyền truy cập ban đầu, nâng cấp đặc quyền của người dùng, xóa các bản sao lưu (called copies) shadow ổ đĩa, sau đó mã hóa hoặc xóa tệp. Khi ở "chế độ xóa", nội dung tệp sẽ bị hủy, giảm kích thước của chúng xuống bằng không trong khi vẫn giữ nguyên tên tệp và phần mở rộng.
“Phần mềm tống tiền bao gồm một tính năng xóa với tham số /WIPEMODE, có thể xóa vĩnh viễn nội dung của một tệp, ngăn chặn bất kỳ nỗ lực phục hồi nào,” Trend Micro cho biết. Khả năng đe dọa kép này được coi là hiếm và làm tăng khả năng nạn nhân sẽ trả tiền.
Cần lưu ý rằng phần mềm tống tiền Anubis này không có liên quan gì đến trojan ngân hàng Android hay đến nhóm hacker FIN7, nhóm này sử dụng cùng một tên cho các phần mềm độc hại khác.
Trong những diễn biến liên quan, công ty tình báo mối đe dọa Recorded Future đã báo cáo về cơ sở hạ tầng mới liên quan đến FIN7, một số trong số đó giả mạo là các sản phẩm phần mềm hợp pháp để phát tán công cụ truy cập từ xa NetSupport RAT. Các phương pháp phân phối đã bao gồm các trang cập nhật trình duyệt giả mạo và các trang tải xuống giả mạo cho phần mềm như 7-Zip.
Hiện tại, chỉ có các trang 7-Zip giả được phát hiện là hoạt động tính đến tháng 4 năm 2025, theo Nhóm Insikt của Recorded Future.