Una nueva y peligrosa amenaza conocida como Anubis ha sido detectada recientemente por expertos en ciberseguridad. Este ransomware no solo cifra los archivos de sus víctimas, sino que también cuenta con una funcionalidad de “wipe mode”, que borra permanentemente los datos, haciendo imposible su recuperación incluso si se paga el rescate. Además, existen versiones móviles de Anubis, especialmente dirigidas a dispositivos Android, que actúan como troyanos bancarios con múltiples capacidades de espionaje y robo de información.
Detalles de la Amenaza:
El ransomware Anubis, ha afectado a organizaciones de los sectores salud, hotelero y de construcción en EE. UU., Canadá, Perú y Australia. Se distribuye a través de campañas de phishing y aprovecha accesos privilegiados para eliminar copias de seguridad (shadow copies), cifrar archivos y, en ciertos casos, borrarlos completamente utilizando el parámetro /WIPEMODE.
Además, el nombre Anubis también ha sido usado por malware móvil de código abierto, ampliamente reutilizado por múltiples grupos cibercriminales para atacar dispositivos Android, afectando tanto a usuarios finales como a organizaciones.
Comportamiento y Capacidades:
- En entornos de escritorio/servidores:
- Cifrado de archivos y eliminación de backups locales.
- Opción de borrado permanente (wipe), reduciendo archivos a 0 KB.
- Presión psicológica sobre la víctima para pagar el rescate.
En entornos móviles (Android):
- Robo de credenciales y datos bancarios mediante abuso de accesibilidad.
- Intercepción de SMS, incluyendo códigos OTP de MFA.
- Keylogging, grabación de audio y captura de pantallas.
- Bloqueo del dispositivo y exigencia de rescate para su desbloqueo.
- Robo de archivos y rastreo de ubicación por GPS.
Indicadores de Compromiso (IoCs):
- Archivos con extensión original pero con tamaño 0 KB.
- Usuarios reportando bloqueo completo de sus dispositivos móviles.
- Tráfico saliente hacia servidores no reconocidos.
- Instalación de apps móviles fuera de Google Play con permisos excesivos.
- Nuevas apps móviles con nombres genéricos y alto consumo de recursos.
Recomendaciones:
Para entornos corporativos:
- Implementar EDR y soluciones anti-ransomware con capacidades de detección de wipers.
- Mantener backups desconectados y realizar pruebas periódicas de recuperación.
- Bloquear adjuntos sospechosos o enlaces maliciosos desde gateways de correo.
Para dispositivos móviles:
- Descargar solo apps desde tiendas oficiales y validar su legitimidad.
- Limitar permisos innecesarios en las apps instaladas.
- Utilizar soluciones de seguridad móvil.
- Reforzar el uso de MFA basado en tokens o aplicaciones seguras, no SMS.
El malware Anubis, tanto en su variante de ransomware de escritorio como en su forma de troyano móvil, representa una de las amenazas más avanzadas y destructivas del panorama actual. Se insta a todas las organizaciones a reforzar sus controles de seguridad, capacitar a sus usuarios sobre ataques de phishing y fortalecer sus políticas de gestión de dispositivos móviles.