Se ha descubierto una cepa emergente de ransomware que incorpora capacidades para cifrar archivos y borrarlos de forma permanente, un desarrollo que se ha descrito como una «rara amenaza dual».
«El ransomware cuenta con un ‘modo de borrado’ que borra permanentemente los archivos, lo que hace imposible su recuperación incluso si se paga el rescate», dijeron las investigadoras de Trend Micro Maristel Policarpio, Sarah Pearl Camiling y Sophia Nilette Robles en un informe publicado la semana pasada.
La operación de ransomware como servicio (RaaS) en cuestión se llama Anubis, que comenzó a activarse en diciembre de 2024 y se cobró víctimas en los sectores de la atención médica, la hostelería y la construcción en Australia, Canadá, Perú y los EE. UU. El análisis de las primeras muestras de prueba del ransomware sugiere que los desarrolladores inicialmente lo llamaron Sphinx, antes de modificar el nombre de la marca en la versión final.
Vale la pena señalar que el grupo de delitos electrónicos no tiene vínculos con un troyano bancario de Android ni con una puerta trasera basada en Python del mismo nombre, el último de los cuales se atribuye al grupo FIN7 (también conocido como GrayAlpha) con motivaciones financieras.
«Anubis ejecuta un programa de afiliados flexible, que ofrece repartos de ingresos negociables y apoya vías de monetización adicionales, como la extorsión de datos y la venta de acceso», afirmó la empresa de ciberseguridad.
El programa de afiliados se divide en partes iguales, lo que permite a los actores afiliados obtener el 80 % del rescate pagado. Por otro lado, los esquemas de extorsión de datos y monetización del acceso ofrecen una división del 60 % al 40 % y del 50 % al 50 %, respectivamente.
Las cadenas de ataque montadas por Anubis implican el uso de correos electrónicos de phishing como vector de acceso inicial, y los actores de amenazas aprovechan esta posición para escalar privilegios, realizar reconocimientos y tomar medidas para eliminar copias de volumen antes de cifrar archivos y, si es necesario, borrar su contenido.
Esto significa que el tamaño de los archivos se reduce a 0 KB mientras que los nombres de los archivos o sus extensiones permanecen intactos, lo que hace imposible la recuperación y, por lo tanto, ejerce más presión sobre las víctimas para que paguen.
«El ransomware incluye una función de borrado que utiliza el parámetro /WIPEMODE, que puede eliminar permanentemente el contenido de un archivo, impidiendo cualquier intento de recuperación», dijeron los investigadores.
Su capacidad de cifrar y destruir datos de forma permanente aumenta significativamente el riesgo para las víctimas, lo que aumenta la presión para cumplir con los requisitos, tal como lo buscan las operaciones de ransomware más potentes.
El descubrimiento del comportamiento destructivo de Anubis llega mientras Recorded Future detalla una nueva infraestructura asociada con el grupo FIN7 que se está utilizando para hacerse pasar por productos y servicios de software legítimos como parte de una campaña diseñada para distribuir NetSupport RAT .
La empresa de inteligencia de amenazas, propiedad de Mastercard, dijo que identificó tres vectores de distribución únicos durante el año pasado que emplearon páginas de actualización de navegador falsas, sitios de descarga falsos de 7-Zip y TAG-124 (también conocido como 404 TDS, Chaya_002, Kongtuke y LandUpdate808) para distribuir el malware.
Mientras que el método de actualización del navegador falso carga un cargador personalizado denominado MaskBat para ejecutar el troyano de acceso remoto, los dos vectores de infección restantes emplean otro cargador PowerShell personalizado denominado PowerNet que lo descomprime y lo ejecuta.
«[MaskBat] tiene similitudes con FakeBat , pero está ofuscado y contiene cadenas vinculadas a GrayAlpha», declaró el Grupo Insikt de Recorded Future . «Aunque se observó el uso simultáneo de los tres vectores de infección, solo las páginas de descarga falsas de 7-Zip seguían activas al momento de escribir este artículo, y los nuevos dominios registrados aparecieron en abril de 2025».
Fuente y redacción: thehackernews.com
