Cybersicherheitsexperten haben eine neue, hochentwickelte Ransomware-as-a-Service (RaaS) Plattform namens Anubis identifiziert. Die Malware zeichnet sich durch ein innovatives dreistufiges Geschäftsmodell aus, das Cyberkriminellen verschiedene Optionen zur Monetarisierung ihrer Angriffe bietet.
Technische Details und Ursprung von Anubis
Die Ransomware wurde erstmals am 23. Februar 2025 auf dem Hackerforum RAMP entdeckt. Analysen des Cybersicherheitsunternehmens Kela deuten darauf hin, dass die Entwickler über umfangreiche Erfahrung in der Cyberkriminalität verfügen. Experten von F6 haben technische Ähnlichkeiten mit der bereits bekannten Malware InvaderX festgestellt.
Innovative Monetarisierungsstrategien
Klassisches RaaS-Modell
Das primäre Angebot umfasst einen fortschrittlichen Verschlüsselungstrojaner, der Windows-, Linux-, NAS- und ESXi-Systeme angreifen kann. Die Malware implementiert den ChaCha+ECIES-Verschlüsselungsalgorithmus und bietet ein webbasiertes Management-Interface. Affiliates erhalten 80% der erpressten Summen.
Datenerpressungs-Service
Eine Besonderheit im Cybercrime-Markt stellt der spezialisierte Datenerpressungsdienst dar. Die Anubis-Betreiber übernehmen die komplette Abwicklung der Erpressung, einschließlich Verhandlungsführung und Druckausübung über soziale Medien. Die Gewinnbeteiligung liegt hier bei 60% für die Datenbeschaffer.
Zugangsverwertung
Im dritten Modell können Cyberkriminelle kompromittierte Systemzugänge an das Anubis-Team verkaufen, das dann eigenständig Angriffe durchführt. Die Gewinne werden zu gleichen Teilen aufgeteilt – ein bisher selten gesehenes Konzept im Ransomware-Ökosystem.
Zielgruppen und bekannte Angriffe
Die Anubis-Gruppe konzentriert sich auf Organisationen in Nordamerika, Europa und Australien. Bemerkenswert ist der selbst auferlegte Verzicht auf Angriffe gegen Ziele in GUS-Staaten. Bislang wurden vier erfolgreiche Attacken dokumentiert, darunter ein schwerwiegender Vorfall beim australischen Pound Road Medical Centre im November 2024.
Die Emergence von Anubis markiert einen bedeutenden Entwicklungsschritt in der Ransomware-Landschaft. Organisationen müssen ihre Cybersicherheitsmaßnahmen dringend überprüfen und anpassen. Besonders wichtig sind dabei mehrschichtige Sicherheitskonzepte, regelmäßige Backups, Mitarbeiterschulungen und ein robustes Incident-Response-Management. Die zunehmende Professionalisierung der Cyberkriminellen erfordert eine entsprechend professionelle Gegenwehr.
