Thought Leadership
Ein neu entdeckter Ransomware-Stamm sorgt aktuell für Besorgnis unter IT-Sicherheitsforschern: „Anubis“ kombiniert nicht nur die üblichen Verschlüsselungsfunktionen, sondern verfügt zusätzlich über eine Löschfunktion, die Daten unwiederbringlich zerstört.
Diese doppelte Bedrohung – Verschlüsselung und vollständiges Löschen – gilt in der Welt der Cyberkriminalität als eher selten.
Nicht nur Erpressung – auch gezielte Datenvernichtung
Laut einem Bericht des Sicherheitsunternehmens Trend Micro besitzt Anubis eine sogenannte „Wipe-Mode“-Funktion. Wird dieser Modus aktiviert, werden Dateien nicht nur verschlüsselt, sondern vollständig gelöscht, sodass auch eine Wiederherstellung durch Zahlung des Lösegelds unmöglich wird.
Das Verhalten von Anubis unterscheidet sich damit deutlich von typischer Ransomware, bei der Opfer nach Zahlung des geforderten Betrags theoretisch ihre Daten zurückbekommen können. Die Löschfunktion reduziert die Dateigröße auf 0 KB, lässt jedoch Dateinamen und Endungen unangetastet – ein psychologisches Druckmittel, um die Zahlungsbereitschaft der Opfer zu erhöhen.
Ursprung und Verbreitung
Die neue Schadsoftware wurde erstmals im Dezember 2024 entdeckt. Betroffen sind Unternehmen unter anderem aus dem Gesundheitswesen, dem Baugewerbe und der Hotelbranche – insbesondere in Australien, Kanada, Peru und den USA. Erste Varianten der Malware trugen noch den Namen „Sphinx“, bevor sie unter dem Namen „Anubis“ verbreitet wurde. Trotz Namensgleichheit besteht keine Verbindung zu einem gleichnamigen Android-Trojaner oder einem Python-basierten Hintertür-Tool, das mit der bekannten Hackergruppe FIN7 (auch bekannt als GrayAlpha) in Verbindung steht.
Ransomware-as-a-Service: Geschäft mit dem Verbrechen
Anubis ist nicht nur eine Schadsoftware, sondern Teil eines kriminellen Dienstleistungsmodells – sogenanntes Ransomware-as-a-Service (RaaS). Hierbei wird die Malware über ein Partnerprogramm verteilt. Die Erlöse werden unter den Beteiligten aufgeteilt: Affiliates erhalten bei erfolgreicher Erpressung bis zu 80 % der Einnahmen, während zusätzliche Einnahmequellen wie Datenerpressung (60 % für die Partner) und der Verkauf von Zugängen (50 %) weitere Profite ermöglichen.
Ablauf eines Angriffs
Typischerweise beginnt ein Angriff mit einer Phishing-E-Mail, über die sich die Täter Zugang zum Zielsystem verschaffen. Anschließend folgen Privilegienausweitung, Netzwerkerkundung sowie das Löschen von Schattenkopien. Der letzte Schritt ist die Verschlüsselung – oder im schlimmsten Fall die vollständige Löschung der Daten durch den Wipe-Modus. Die technische Umsetzung erfolgt über einen speziellen Parameter namens „/WIPEMODE“.
Die Kombination aus Löschung und Verschlüsselung setzt Unternehmen massiv unter Druck – nicht zuletzt, weil eine Datenrettung praktisch ausgeschlossen ist.
Verbindung zu anderen Kampagnen?
Parallel zu Anubis deckte das Sicherheitsunternehmen Recorded Future Aktivitäten der Hackergruppe FIN7 auf. Diese betreiben eigene Infrastrukturen, um über gefälschte Webseiten – etwa für Browser-Updates oder vermeintliche 7-Zip-Downloads – Schadsoftware wie den Fernzugriffstrojaner NetSupport RAT zu verbreiten. Dabei kommen eigene Ladeprogramme wie „MaskBat“ und „PowerNet“ zum Einsatz.
Auch wenn keine direkte Verbindung zwischen Anubis und FIN7 besteht, zeigen die parallelen Entwicklungen, wie ausgeklügelt und vielfältig Cyberbedrohungen geworden sind.
