tendencias

Campaña de malware Anubis: análisis técnico y estrategias de mitigación

Descripción técnica de la campaña de malware Anubis

Derivado del monitoreo constante de amenazas en el ciberespacio, el equipo de Cyber Threat Intelligence de Silent4Business identificó la campaña de malware Anubis, una nueva operación de ransomware caracterizada por su modelo RaaS y capacidad de destrucción de archivos.

El grupo detrás de este RaaS, también llamado Anubis, opera con un modelo de extorsión de múltiples capas, mostrando características de una operación flexible y en constante evolución.

Orígenes y evolución de la campaña de malware Anubis

Anubis se unió a X (antes Twitter) en diciembre de 2024, al mismo tiempo que se identificó una muestra inicial llamada Sphinx, que carecía de la URL de su sitio de alojamiento y del identificador único para encriptar datos.

Nota de rescate inicial vinculada a la campaña de malware Anubis
Ilustración 1. Nota de rescate de Sphinx.

El análisis comparativo de ambos binarios muestra similitudes claras, diferenciándose principalmente en la función de generación de la nota de rescate. En apariencia, Sphinx fue el prototipo de la campaña de malware Anubis que hoy se conoce y se distribuye de forma más avanzada.

Funcionalidad de borrado de archivos

Una de las características diferenciadoras de Anubis frente a otros RaaS es su capacidad de borrado de archivos, diseñada para sabotear los procesos de recuperación incluso después del cifrado.

Al amenazar con la eliminación irreversible de datos cifrados, Anubis aumenta significativamente la presión sobre sus víctimas, intensificando así el impacto del ataque.

Cadena de ataque de la campaña de malware Anubis
Ilustración 2. Cadena de ataque.

Vectores de ataque y parámetros de ejecución

El vector inicial de entrada es el spear phishing, con correos electrónicos que incluyen archivos adjuntos o enlaces maliciosos cuidadosamente diseñados para simular fuentes confiables.

El ransomware toma múltiples parámetros para su funcionamiento correcto:

ParámetroDescripción
“/CLAVE=”Llave
“/elevado”Elevar privilegio
“/WIPEMODE”Modo de limpieza
“/PFAD=”Directorios para excluir
“/RUTA=”Rutas específicas que deben ser encriptadas

En su primera fase, verifica los privilegios administrativos y, si los detecta, intenta elevarlos al nivel SISTEMA con el mensaje:

“Privilegios de administrador detectados. Intentando elevar a SISTEMA”

Escalada de privilegios en la campaña de malware Anubis
Ilustración 3. Detección y escalada de privilegios de administrador en ensamblador.

El ransomware realiza la comprobación accediendo a la unidad física principal del sistema. Si detecta privilegios elevados, ejecuta el comando:

bashCopiarEditarvssadmin delete shadows /for=norealvolume /all /quiet

El objetivo es eliminar todas las copias sombra y bloquear la restauración de archivos desde versiones anteriores.

El cifrado se basa en el esquema ECIES (Elliptic Curve Integrated Encryption Scheme), disponible públicamente en GitHub y desarrollado en Go.

Ilustración 4. Lista de funciones en Go relacionadas con el esquema de cifrado ECIES.

Finalmente, Anubis modifica los íconos de los archivos cifrados con su logotipo característico.

Ilustración 5. Logotipo de Anubis.

La nota de rescate de Anubis utiliza una estrategia de doble extorsión: amenaza con divulgar públicamente la información robada o eliminarla por completo si no se cumplen sus demandas.

Ilustración 6. Archivo con el nombre RESTORE FILES.html.

Riesgos y consecuencias de la campaña de malware Anubis

Anubis representa una amenaza emergente de gran sofisticación en el panorama del ransomware actual. Su evolución desde Sphinx refleja un desarrollo meticuloso, enfocado en maximizar el daño mediante la combinación poco común de cifrado y destrucción de datos.

Su modelo Ransomware as a Service (RaaS) y la estrategia de extorsión en múltiples capas demuestran una operación altamente adaptable.

El uso de técnicas avanzadas como la escalada de privilegios, la eliminación de copias sombra y el cifrado ECIES, sumado a vectores de spear phishing, posiciona a Anubis como una herramienta de alto riesgo para empresas e infraestructuras críticas.

El equipo de CTI de Silent4Business mantendrá una vigilancia activa para identificar nuevas variantes y actividades relacionadas, asegurando una respuesta informativa y oportuna ante cualquier novedad relevante.

Posibles vectores de ataque e impacto operativo

Vector de ataque: Ingeniería social, phishing, spear phishing.
Impacto operativo: Robo de información sensible, cifrado de datos, eliminación de información.
Región afectada: Nacional e internacional.

Indicadores de compromiso (IoC)

IPs

  • 8[.]134[.]148[.]20
  • 5[.]52[.]177[.]249
  • 212[.]224[.]107[.]203
  • 195[.]133[.]67[.]35

MD5

  • 0a5f3fc92af7aa3e448ac7b84e495fc6

SHA1

  • 6480ca1b4ef8ee7074be143cc103c655c107b038

SHA256

  • 03a160127cce3a96bfa602456046cc443816af7179d771e300fec80c5ab9f00f

Tácticas, técnicas y procedimientos (TTPs)

ID de TácticaTácticaDescripciónTécnica / Subtécnica
TA0001Acceso InicialIntento de ingreso a la red.T1566 – Phishing
TA0002EjecuciónEjecución de código malicioso.T1059 – Intérprete de comandos y secuencias de comandos
TA0004Escalada de PrivilegiosObtención de permisos de nivel superior.T1134.002 – Manipulación de tokens de acceso: Crear proceso con token
TA0005Evasión de la DefensaEvadir mecanismos de detección.T1078 – Cuentas válidas
TA0007DescubrimientoReconocimiento del entorno.T1083 – Detección de archivos y directorios
TA0007DescubrimientoReconocimiento del entorno.T1057 – Descubrimiento de procesos
TA0040ImpactoManipulación o destrucción de sistemas o datos.T1489 – Parada de servicio
TA0040ImpactoManipulación o destrucción de sistemas o datos.T1486 – Datos encriptados para lograr un impacto
TA0040ImpactoManipulación o destrucción de sistemas o datos.T1485 – Destrucción de datos

Recomendaciones para fortalecer la ciberseguridad empresarial

  • Implementar autenticación multifactor (MFA).
  • Restringir la ejecución de scripts y macros.
  • Monitorear el uso de herramientas como WMI, PowerShell y línea de comandos.
  • Deshabilitar y restringir el uso de vssadmin y otros comandos sensibles.
  • Aislar físicamente o lógicamente las copias de seguridad.
  • Configurar filtros de correo electrónico avanzados.
  • Segmentar la red para limitar el movimiento lateral.

En Silent4Business nos especializamos en monitorear, analizar y alertar sobre amenazas cibernéticas emergentes para empresas e instituciones. Visita nuestro sitio web para conocer más sobre nuestros servicios de Cyber Threat Intelligence: www.silent4business.com

Fuente y/o Referencias:
CTI-S4B, Trend Micro, Rewterz, Múltiples fuentes abierta

Autor

  • Jhusteene Ezequiel Salgado Becerra

    Ingeniero en computación, desempeñándose como analista de Ciberinteligencia. Ha colaborado en la agrupación de ciberseguridad Pumahat de la Facultad de Ingeniería de la UNAM y actualmente forma parte del equipo de CTI en Silent4Business. Su trabajo se centra en el hunting y el análisis de vulnerabilidades, la investigación de campañas de malware y la detección de tendencias en ciberamenazas, contribuyendo con reportes técnicos y estratégicos que fortalecen la seguridad de las organizaciones.
Etiqueta

Publicar comentario

X (Twitter)
LinkedIn
Share
×