Ha emergido una nueva operación de ransomware como servicio, Anubis, que se diferencia de las variantes convencionales por su capacidad de destrucción total de datos. Este ransomware no solo cifra los archivos, sino que también incorpora un «modo de limpieza» que elimina permanentemente el contenido de los archivos, haciendo imposible su recuperación incluso si se paga el rescate.
Esta táctica de doble amenaza marca una escalada significativa en el panorama del ransomware, ya que va más allá del simple cifrado para lograr la destrucción completa de la información.
El grupo Anubis inició oficialmente sus operaciones a principios de 2025, aunque su desarrollo se remonta a diciembre de 2024, cuando apareció por primera vez en redes sociales. Anubis es una evolución de una variante previa conocida como Sphinx, la cual carecía de elementos cruciales como un sitio TOR y la identificación única de las víctimas en sus notas de rescate.
Cuando los investigadores compararon los archivos binarios de Anubis y Sphinx, descubrieron que eran muy idénticos, con sólo diferencias menores en la función de generación de notas de rescate, lo que sugiere un cambio de nombre del malware principal.
Los analistas de Trend Micro identificaron esta amenaza emergente y documentaron su sofisticada metodología de ataque, que comienza con campañas de phishing dirigidas a organizaciones de múltiples sectores.
El grupo ha demostrado un enfoque oportunista, cobrándose víctimas en las industrias de la salud, la ingeniería y la construcción en Australia, Canadá, Perú y Estados Unidos.
Se ha observado a representantes de la operación Anubis en los foros de cibercrimen RAMP y XSS, utilizando los apodos «supersonic» y «Anubis__media», respectivamente, anunciando programas de afiliados flexibles con estructuras negociables de participación en los ingresos.
El ransomware emplea múltiples vectores de ataque, y el acceso inicial generalmente se obtiene a través de correos electrónicos de phishing cuidadosamente elaborados que contienen archivos adjuntos maliciosos o enlaces diseñados para aparecer en fuentes confiables.
Una vez ejecutado, Anubis requiere parámetros de línea de comandos específicos para funcionar correctamente, incluidos /KEY= para autenticación, /elevated para escalada de privilegios, /WIPEMODE para operaciones destructivas, /PFAD= para exclusiones de directorios y /PATH= para apuntar a rutas de cifrado específicas.
El malware demuestra capacidades sofisticadas de escalada de privilegios, verificando derechos administrativos al intentar acceder a la unidad física principal del sistema y mostrando mensajes interactivos cuando se detectan permisos elevados.
Lo que distingue a Anubis de otras familias de ransomware es su devastadora capacidad de modo de limpieza, activada mediante el parámetro /WIPEMODE durante la ejecución.
Esta característica va más allá del cifrado tradicional al destruir permanentemente el contenido del archivo, lo que garantiza que ni siquiera los pagos de rescate exitosos puedan restaurar los datos afectados.
La función de limpieza opera borrando completamente el contenido del archivo mientras mantiene la estructura del archivo, lo que da como resultado archivos que aparecen en las listas de directorios pero no contienen bytes de datos.
La implementación técnica de esta capacidad destructiva implica la sobrescritura sistemática del contenido de los archivos, lo que hace que los métodos tradicionales de recuperación de datos sean ineficaces.
A diferencia del ransomware convencional que cifra archivos utilizando algoritmos como el esquema de cifrado integrado de curva elíptica (ECIES) empleado por Anubis para sus operaciones de cifrado estándar, el modo de borrado evita el cifrado por completo y procede directamente a la destrucción de datos.
Este enfoque crea un escenario irreversible en el que las víctimas enfrentan una pérdida total de datos independientemente de su disposición a pagar las demandas de rescate.
Anubis también incorpora tácticas destructivas adicionales diseñadas para obstaculizar los esfuerzos de recuperación del sistema.
El ransomware ejecuta el comando vssadmin eliminar sombras /for=norealvolume /all /quiet para eliminar todas las instantáneas de volumen en los sistemas afectados, eliminando efectivamente las opciones de recuperación integradas de Windows.
Este enfoque sistemático para destruir los mecanismos de recuperación, combinado con la función del modo de limpieza, crea un ataque de múltiples capas diseñado para maximizar el daño y presionar a las víctimas para que cumplan y, al mismo tiempo, imposibilita la recuperación a través de medios convencionales.
