Akárcsak a mozifilmnél, itt is tövig rághatjuk a körmünket izgalmunkban. Csak sajnos nem ér véget másfél óra múlva a vetítéssel, és frissen pattogatott kukorica sem jár mellé. Az új Anubis nevű RaaS, azaz ransomware bérelhető szolgáltatás a korábban csak a wiper kártevőknél ismert megsemmisítő fájltörléssel is kibővült.
Ha csak dióhéjban kellene napjaink zsarolóvírus evolúcióját összefoglalni, a 2013-as CryptoLocker volt az első, amely erős, egyedi titkosítással elkódolta a fájlokat, és a helyreállításért kriptovalutában követelt váltságdíjat.
Később már párosult ez a dokumentumok ellopásával is (doxing), ahol ha valakinek esetleg volt is mentése, mégis fizetett, hogy a bizalmas adatokat nem töltsék fel publikusan a netre a bűnözők.
És voltak külön a rombolásra specializálódott úgynevezett wiperek, azaz adattörlő kártevők, amelyek kifejezetten szabotázs jellegű közmű leállásokat, szolgáltatás kimaradásokat, áramszüneteket okoztak, legismertebb talán a Hermetic Wiper volt, ami Ukrajnában végzett pusztításokat.
Részben elődként lehet tekinteni a 2017-es NotPetya látszólag ransomware kártevőre, amely nem a fájlokat egyesével titkosította, hanem magát a fájlrendszer MFT-jét (Master File Table) fájl nyilvántartó táblázatot rongálta meg és az rendszerindításért felelős MBR-t (Master Boot Record) is módosította, végeredményben elérhetetlenné téve ezzel a tárolt állományokat is.
Jelentések szerint bár már 2024. decemberben is voltak jelek, de az Anubis igazi aktivitása 2025. év eleje óta figyelhető meg. Februárban lehetett arról olvasni a darknetes RAMP (Ransomware and Advanced Malware Protection) fórumon az Anubis partneri programjáról, amely a váltságdíj 80%-át ígérte a résztvevő partnereknek. A kártevő Windows, Linux, NAS és ESXi x64/x32 környezeteket céloz meg, és igen kifinomult módon működik.
Például célzottan törli a mentéshez használható árnyékmásolatokat, és igyekszik leállítani azokat a futó folyamatokat és szolgáltatásokat (például biztonsági mentés, vírusvédelem), amelyek zavarhatják a titkosítási folyamatot. Emellett arra is figyelnek, hogy a fontos rendszer fájlok és programkönyvtárak ki legyenek zárva az elkódolásnál.
Ha az egyébként erős titkosítást (ECIES, Elliptic Curve Integrated Encryption Scheme) használó támadók az akciójuk során bármikor beindítják az úgynevezett /WIPEMODE parancsot, akkor a kártevő törli az összes fájl tartalmát, méretüket 0 KB-ra csökkentve, miközben a fájlnevek és a szerkezet látszólag érintetlen marad. Azok tartalma azonban ezzel visszafordíthatatlanul megsemmisül, így a helyreállítás gyakorlatilag lehetetlenné válik. A kutatók szerint a fertőzések eredetileg adathalász e-mailekkel kezdődnek, amelyek rosszindulatú linkeket vagy mellékleteket tartalmaznak.
Igazi, üzleti célú RaaS modellekben a direkt fájltörlés korábban eddig nem igazán volt jellemző, hiszen alapesetben ez csökkentené az esélyt a váltságdíj kifizetésére. Ha nincs mit helyreállítani, akkor a szolgáltatás bérlői sem tudnak ezzel pénzt keresni. Ha viszont mindezt megelőzi az adatlopás, akkor mintegy kiegészítő büntetésként is használhatják ezt a hezitáló, nem fizető áldozatoknál.
A felhasználók szempontjából mindenképpen emelkedik a kockázat, hiszen a korábbi célzott, testre szabott egyedi akciók helyett a RaaS szisztéma terítése miatt tömeges méretekben terjedhetnek az ilyen rombolásra is alkalmas kártékony kódok.
