Исследователи компании Kela и аналитики F6 задокументировали новую программу-вымогатель Anubis, работающую по модели Ransomware-as-a-Service (RaaS). Первое упоминание появилось на хакерском форуме RAMP 23 февраля 2025 года. Группировка предлагает три различные схемы монетизации, включая нетипичную услугу по работе с уже похищенными данными — без шифрования.
Происхождение Anubis
По данным Kela, за разработкой Anubis стоят опытные киберпреступники, предположительно бывшие участники других хакерских группировок. Аналитики F6 отмечают возможную техническую связь с ранее известной программой InvaderX. На момент публикации зафиксировано четыре подтверждённые атаки, в том числе против австралийского медицинского центра Pound Road Medical Centre в ноябре 2024 года.
Три схемы монетизации
Классическая модель RaaS
Традиционная схема предоставляет доступ к шифровальщику, поддерживающему платформы Windows, Linux, NAS и ESXi. Используется алгоритм шифрования ChaCha+ECIES. Управление осуществляется через веб-портал. Распределение прибыли: 80% оператору, 20% разработчикам.
Data Ransom — монетизация без шифрования
Нетипичная для рынка модель: операторы Anubis предлагают свои услуги по работе с уже похищенными данными без проведения шифрования. Команда берёт на себя ведение переговоров с жертвами и давление через различные каналы — публикации в социальных сетях, уведомления регулирующих органов. Распределение: 60% тому, кто предоставил данные, 40% команде Anubis.
Access Monetization
Партнёры предоставляют доступ к уже скомпрометированным системам, а команда Anubis самостоятельно проводит атаку и шифрование. Доход делится поровну. Модель ориентирована на брокеров первоначального доступа (IAB), не имеющих собственных инструментов для атаки.
Географические ограничения и текущие цели
Операторы Anubis сфокусированы на организациях в США, Европе, Канаде и Австралии. Группировка установила явный запрет на атаки против организаций из стран бывшего СНГ — стандартная практика для русскоязычных RaaS-группировок, ориентированных на снижение вероятности уголовного преследования.
Кого затрагивает угроза
Приоритетные цели Anubis, судя по известным атакам:
- Медицинские организации — данные пациентов создают максимальное давление для выплаты выкупа
- Промышленные и производственные компании — срочность восстановления производства ускоряет переговоры
- Юридические и финансовые компании — конфиденциальность данных клиентов создаёт дополнительный рычаг давления через Data Ransom
Модель Data Ransom особенно опасна для организаций, пострадавших от первоначальной кражи данных без шифрования: даже если резервные копии позволяют восстановить работу, угроза публикации или передачи данных регуляторам остаётся инструментом давления.
Меры защиты
- Сегментация сетей — ограничение бокового перемещения атакующих между сегментами, особенно между IT и OT/производственными системами
- Мониторинг угроз по модели MITRE ATT&CK — отслеживание тактик, характерных для RaaS-операторов: первоначальный доступ через фишинг и уязвимые VPN, эксфильтрация данных до шифрования
- DLP-решения и мониторинг эксфильтрации — обнаружение несанкционированной передачи больших объёмов данных во внешние хранилища
- Офлайн-резервные копии критических данных, изолированные от основной сети — снижает эффективность шифрования, хотя не защищает от угрозы публикации похищенных данных
Модель Data Ransom, которую предлагает Anubis, указывает на эволюцию тактик: шифрование как единственный механизм давления теряет эффективность по мере улучшения практик резервного копирования. Организациям следует выстраивать стратегию защиты с учётом угрозы утечки данных независимо от шифрования.
