Một biến thể mã độc tống tiền (ransomware) mới mang tên Anubis đang khiến giới bảo mật đặc biệt lo ngại bởi khả năng tống tiền và xóa dữ liệu triệt để.
Anubis là một dịch vụ ransomware-as-a-service (RaaS) được phát hiện lần đầu vào cuối năm 2024. Mặc dù mới xuất hiện nhưng nó đã thể hiện sự nguy hiểm khi cho phép các nhóm tội phạm mạng sử dụng phần mềm độc hại có khả năng vừa mã hóa vừa phá hủy dữ liệu.
Theo các nhà nghiên cứu của Trend Micro, một trong những điểm khác biệt của Anubis so với các ransomware trước đây là tính năng “/WIPEMODE”, khi được kích hoạt, nó xóa toàn bộ nội dung trong file nhưng vẫn giữ nguyên tên và vị trí thư mục. Nạn nhân có thể thấy tệp vẫn còn đó, nhưng thực chất bên trong đã bị xóa trắng, không còn gì để khôi phục.
Mã độc tống tiền Anubis có khả năng vừa mã hóa vừa phá hủy dữ liệu. Ảnh: BleepingComputer
Hành vi này được cho là nhằm gia tăng áp lực tâm lý lên người dùng và doanh nghiệp bị tấn công. Thay vì chỉ mã hóa để yêu cầu chuộc, Anubis đe dọa rằng nếu không trả tiền nhanh chóng, dữ liệu sẽ bị phá hủy hoàn toàn. Đây là một chiến thuật nhằm ngăn chặn nạn nhân kéo dài thời gian thương lượng hoặc tìm kiếm các phương án phục hồi.
Theo phân tích của Trend Micro, Anubis sử dụng thuật toán mã hóa ECIES (Elliptic Curve Integrated Encryption Scheme), tương tự một số chủng ransomware khác như EvilByte và Prince. Sau khi mã hóa, các tệp bị đổi phần mở rộng thành ".anubis và ghi chú đòi tiền chuộc dưới dạng tệp HTML sẽ được chèn vào các thư mục. Ngoài ra, phần mềm độc hại còn cố gắng thay đổi hình nền máy tính, mặc dù chưa ghi nhận thành công.
Các cuộc tấn công sử dụng Anubis thường bắt đầu bằng chiến dịch lừa đảo qua email, khai thác các liên kết hoặc tệp đính kèm độc hại để thâm nhập hệ thống.
Một khi xâm nhập thành công, ransomware sẽ xóa các bản sao lưu hệ thống (Volume Shadow), kết thúc các tiến trình có thể ngăn cản mã hóa và tránh các thư mục hệ thống quan trọng để giữ máy hoạt động, nhằm đảm bảo nạn nhân vẫn còn cơ hội truy cập ghi chú đòi tiền.
Hoạt động RaaS của Anubis cho thấy tính chuyên nghiệp và mô hình phân chia lợi nhuận rõ ràng, các “đối tác” tống tiền nhận tới 80% lợi nhuận, trong khi những kẻ môi giới truy cập hệ thống ban đầu được chia 50%. Anubis từng xuất hiện trên diễn đàn ngầm RAMP vào tháng 2-2025 để chiêu mộ thêm thành viên, cho thấy băng nhóm này đang tích cực mở rộng hoạt động.
Dù tính đến hiện tại, chỉ có 8 nạn nhân được liệt kê trên trang tống tiền của Anubis trên dark web, nhưng các chuyên gia cảnh báo đây có thể chỉ là bước khởi đầu. Với khả năng phá hoại dữ liệu mạnh mẽ và cơ chế RaaS tinh vi, Anubis đang đặt ra thách thức mới cho các tổ chức, doanh nghiệp và cá nhân trong việc bảo vệ an toàn thông tin.
Trend Micro khuyến cáo người dùng cần đặc biệt cảnh giác với email lạ, không nhấp vào liên kết đáng ngờ, duy trì sao lưu dữ liệ