在当下复杂且变幻莫测的网络安全形势中，一个名为 Anubis 的全新勒索软件组织已强势登场，迅速成为网络安全领域里令人瞩目的重大威胁。

自 2024 年底起，Anubis 便开始活跃起来。它运用先进技术，具备在多个平台上运行的能力，这些平台涵盖了 Windows、Linux、NAS 以及 ESXi 环境。该组织借助勒索软件即服务（RaaS）以及其他基于联盟的货币化模式，不断拓展自身的影响力范围。

技术能力与目标平台

据了解，Anubis 勒索软件是基于 ChaCha + ECIES 加密算法开发而成的，这一算法赋予了它极为强大的数据加密能力。它能够针对各种环境中的 x64/x32 架构展开攻击，并且能够将权限提升至 NT AUTHORITY\SYSTEM 级别，从而实现对系统更深层次的访问。此外，该恶意软件还具备自我传播的功能，可以高效地对整个域进行加密操作。而所有这些功能，均通过专门为联属会员设计的、操作便捷的网络面板来进行管理。Anubis 集团将业务重点聚焦于关键行业，其中医疗保健和工程领域成为了他们的主要目标。近期，澳大利亚、加拿大、秘鲁以及美国的一些组织已不幸沦为其受害者。值得留意的是，在已确认的四名受害者当中，有两名来自医疗保健行业，这一情况凸显出该组织对敏感数据行业存在潜在的高度关注。

联盟计划：多样化的盈利模式

为了吸引网络犯罪分子与之合作，Anubis 推出了一系列联盟计划：

· 勒索软件即服务（RaaS）：参与该计划的联盟会员，若成功部署 Anubis 勒索软件，将能够获得高达 80% 的赎金分成。

· 数据勒索计划：在此模式下，主要通过以公开曝光所窃取数据作为威胁手段，将这些数据货币化。关联公司在此计划中可获得 60% 的收入，但被盗数据必须符合特定标准，比如具备排他性和相关性。

· 访问货币化计划：初始访问经纪人可以向 Anubis 出售公司凭证，进而获取 50% 的收入分成。该计划还包含详细的受害者分析环节，目的在于最大程度地提升勒索筹码。

这些联盟计划构建起了一套结构完善的商业模式，旨在通过多元化的收入来源，实现盈利能力的最大化。

据 Kela 介绍，Anubis 的运作方式极为复杂。他们会在隐藏的博客页面上发布关于受害者的调查文章，试图以此迫使相关组织支付赎金。一旦谈判破裂，该组织就会在其博客或者社交媒体平台上公开发布被盗数据。

Anubis博客首页截图 

此外，他们还会通知监管机构以及受影响的各方，以此加大对受害者的压力。该组织的代表以 “superSonic” 和 “Anubis__media” 等化名活跃于俄语网络犯罪论坛，如 RAMP 和 XSS。从他们在论坛上发布的帖子能够看出，他们此前极有可能作为其他团体的成员，积累了丰富的勒索软件操作经验。

Anubis 的出现，充分彰显了勒索软件威胁正呈现出不断演变的特性。他们所具备的技术专长，加之创新的商业模式以及对关键领域的重点关注，使其成为了一个实力强劲的对手。在此，建议各个组织务必加强网络安全防御措施，时刻对这一新兴的威胁保持高度警惕。

参考及来源：https://gbhackers.com/new-anubis-ransomware-targets-windows-linux-nas-and-esxi/