Telegram Group & Telegram Channel
Telegram Group » Singapore » SecAtor » Telegram Webview » Post 6787
SecAtor
Исследователи Kela сообщают о новой банде вымогателей Anubis, работающей в формате RaaS, но с более широким портфелем услуг для операторов.

Банда образовалась в конце 2024 года и включает опытных в теме ransomware участников.

Как и большинство других современных групп, Anubis практикует двойное вымогательство, но в более современных форматах партнерских программ, анонсированных на RAMP.

Среди них - Anubis Ransomware, Anubis Data Ransom и Access Monetization.

Первый вариант - классическое вымогательство, предлагающее оператору до 80% от полученного выкупа. Вредоносное ПО написано на ChaCha+ECIES, нацелено на среды Windows, Linux, NAS и ESXi x64/x32 и может управляться через веб-портал.

Второй вариант, Data Ransom предоставляет оператору возможность реализовать монетизацию уже украденных данных, которые должны отвечать требованиям эксклюзивности и быть украденными в течение последних шести месяцев.

Anubis предлагает услуги по переговорам для получения выкупа, оказание давления на жертв, включая информирование контрагентов компаний и клиентов, а также публикации в X. В такой схеме доход оператора составляет 60%.

По Access Monetization брокерам доступа выплачивается до 50% от последующего дохода. Доступ относится к целям в США, Европе, Канаде или Австралии, при этом жертва не должна быть атакована другими бандами вымогателей в течение предшествующего года.

Для всех вариантов сотрудничества Anubis установлен запрет работать по странам СНГ.

Anubis также админит свой собственный DLS, на котором к настоящему времени размещаются только три жертвы из США, Австралии и Перу.

Четвертая анонсирована и пока не раскрыта, была добавлена 25 февраля 2025 года. Причем две из трех упомянутых относятся к сфере здравоохранения.

Первой из них является австралийская медицинская фирма Pound Road Medical Centre (PRMC), которая 13 ноября 2024 года официально подтвердила киберинцидент, связанный с кражей данных пациентов.

Однако использование ransomware не упоминается.

По всей видимости, текущие кампании Anubis могут быть сосредоточены на вымогательстве данных, а не на традиционных программах-вымогателях с шифрованием файлов.

Как отмечают в Kela, появление на рынке ransomware нового игрока с новыми условиями RaaS говорит о том, что вымогательство, основанное исключительно на эксфильтрации данных, становится все более распространенной практикой, а Anubis успевает занять нишу.

Тем не менее, отходить от традиционной модели с шифрованием Anubis не планирует, предлагая целый список возможностей шифрования вируса-вымогателя.

В свою очередь, аналитики F6 считают, что Anubis – это усовершенствованная версия партнёрской RaaS-программы InvaderX.

Используется одна и та же схема шифрования – ECIES (алгоритм шифрования на основе эллиптических кривых), которая встречается редко.

Другое совпадение – запрет для партнёров атаковать страны БРИКС, это тоже редкость.

Кроме того, InvaderX перестал обновлять информацию о партнерском сервисе с ноября 2024 года и не активен на форумах как минимум с января 2025-го.

Причем представитель Anubis с псевдонимом superSonic зарегистрирован на форуме полгода назад, а сообщение по Anubis стало для него первым.

Как полагают исследователи, еще следует понаблюдать за новой группой, но замеченная всего за пару месяцев активность указывает на то, что Anubis и создаваемая сеть операторов могут стать серьезной угрозой в течение 2025 года.

В общем, будем посмотреть.
KELA Cyber Threat Intelligence
Anubis: A New Ransomware Threat
Recently, a new ransomware group, dubbed Anubis, emerged. KELA has observed representatives of Anubis on both RAMP (using the moniker ‘superSonic’) and XSS (using the moniker ‘Anubis__media’). Read more in our blog.
www.group-telegram.com/sg/true_secator.com/6787
5.9K views



group-telegram.com/true_secator/6787
Create:
Last Update:

Исследователи Kela сообщают о новой банде вымогателей Anubis, работающей в формате RaaS, но с более широким портфелем услуг для операторов.

Банда образовалась в конце 2024 года и включает опытных в теме ransomware участников.

Как и большинство других современных групп, Anubis практикует двойное вымогательство, но в более современных форматах партнерских программ, анонсированных на RAMP.

Среди них - Anubis Ransomware, Anubis Data Ransom и Access Monetization.

Первый вариант - классическое вымогательство, предлагающее оператору до 80% от полученного выкупа. Вредоносное ПО написано на ChaCha+ECIES, нацелено на среды Windows, Linux, NAS и ESXi x64/x32 и может управляться через веб-портал.

Второй вариант, Data Ransom предоставляет оператору возможность реализовать монетизацию уже украденных данных, которые должны отвечать требованиям эксклюзивности и быть украденными в течение последних шести месяцев.

Anubis предлагает услуги по переговорам для получения выкупа, оказание давления на жертв, включая информирование контрагентов компаний и клиентов, а также публикации в X. В такой схеме доход оператора составляет 60%.

По Access Monetization брокерам доступа выплачивается до 50% от последующего дохода. Доступ относится к целям в США, Европе, Канаде или Австралии, при этом жертва не должна быть атакована другими бандами вымогателей в течение предшествующего года.

Для всех вариантов сотрудничества Anubis установлен запрет работать по странам СНГ.

Anubis также админит свой собственный DLS, на котором к настоящему времени размещаются только три жертвы из США, Австралии и Перу.

Четвертая анонсирована и пока не раскрыта, была добавлена 25 февраля 2025 года. Причем две из трех упомянутых относятся к сфере здравоохранения.

Первой из них является австралийская медицинская фирма Pound Road Medical Centre (PRMC), которая 13 ноября 2024 года официально подтвердила киберинцидент, связанный с кражей данных пациентов.

Однако использование ransomware не упоминается.

По всей видимости, текущие кампании Anubis могут быть сосредоточены на вымогательстве данных, а не на традиционных программах-вымогателях с шифрованием файлов.

Как отмечают в Kela, появление на рынке ransomware нового игрока с новыми условиями RaaS говорит о том, что вымогательство, основанное исключительно на эксфильтрации данных, становится все более распространенной практикой, а Anubis успевает занять нишу.

Тем не менее, отходить от традиционной модели с шифрованием Anubis не планирует, предлагая целый список возможностей шифрования вируса-вымогателя.

В свою очередь, аналитики F6 считают, что Anubis – это усовершенствованная версия партнёрской RaaS-программы InvaderX.

Используется одна и та же схема шифрования – ECIES (алгоритм шифрования на основе эллиптических кривых), которая встречается редко.

Другое совпадение – запрет для партнёров атаковать страны БРИКС, это тоже редкость.

Кроме того, InvaderX перестал обновлять информацию о партнерском сервисе с ноября 2024 года и не активен на форумах как минимум с января 2025-го.

Причем представитель Anubis с псевдонимом superSonic зарегистрирован на форуме полгода назад, а сообщение по Anubis стало для него первым.

Как полагают исследователи, еще следует понаблюдать за новой группой, но замеченная всего за пару месяцев активность указывает на то, что Anubis и создаваемая сеть операторов могут стать серьезной угрозой в течение 2025 года.

В общем, будем посмотреть.

BY SecAtor




Share with your friend now:
group-telegram.com/true_secator/6787

View MORE
Open in Telegram


Telegram | DID YOU KNOW?

Date: |

What distinguishes the app from competitors is its use of what's known as channels: Public or private feeds of photos and videos that can be set up by one person or an organization. The channels have become popular with on-the-ground journalists, aid workers and Ukrainian President Volodymyr Zelenskyy, who broadcasts on a Telegram channel. The channels can be followed by an unlimited number of people. Unlike Facebook, Twitter and other popular social networks, there is no advertising on Telegram and the flow of information is not driven by an algorithm. Oh no. There’s a certain degree of myth-making around what exactly went on, so take everything that follows lightly. Telegram was originally launched as a side project by the Durov brothers, with Nikolai handling the coding and Pavel as CEO, while both were at VK. "There are a lot of things that Telegram could have been doing this whole time. And they know exactly what they are and they've chosen not to do them. That's why I don't trust them," she said. If you initiate a Secret Chat, however, then these communications are end-to-end encrypted and are tied to the device you are using. That means it’s less convenient to access them across multiple platforms, but you are at far less risk of snooping. Back in the day, Secret Chats received some praise from the EFF, but the fact that its standard system isn’t as secure earned it some criticism. If you’re looking for something that is considered more reliable by privacy advocates, then Signal is the EFF’s preferred platform, although that too is not without some caveats. This ability to mix the public and the private, as well as the ability to use bots to engage with users has proved to be problematic. In early 2021, a database selling phone numbers pulled from Facebook was selling numbers for $20 per lookup. Similarly, security researchers found a network of deepfake bots on the platform that were generating images of people submitted by users to create non-consensual imagery, some of which involved children.
from sg


Исследователи Kela сообщают о новой банде вымогателей Anubis

 SecAtor TG
Webview: 6787
SecAtor.Telegram Webview
SecAtor Telegram TG Channel
Telegram Updated:
Telegram SecAtor
FROM American