Une nouvelle menace numérique émerge avec Anubis, un ransomware capable d’encrypter et de supprimer des fichiers. Son fonctionnement est alarmant, car il offre aux criminels la possibilité de détruire définitivement les données après l’encryption, rendant toute récupération impossible. La prudence est de mise face à cette opération en pleine expansion.
Une nouvelle campagne de ransomware-as-a-service (RaaS) a été révélée, présentant un potentiel destructeur important. Anubis, présent depuis quelques mois, n’a pas encore causé de nombreux dommages, mais son efficacité pourrait augmenter rapidement, compliquant la récupération des données.
Anubis combine l’encryption des fichiers avec des routines de destruction. En plus de chiffrer les données sur les systèmes Windows, ce malware propose un mode de « suppression » qui efface définitivement les fichiers. Une fois activée, il devient impossible de récupérer ces fichiers, même pour ceux prêts à payer la rançon.
Anubis a été identifié pour la première fois en décembre 2024, lors de l’analyse d’un exemplaire en cours par Trend Micro, connu sous le nom de Sphinx. Selon cette entreprise de sécurité, Anubis et Sphinx sont fondamentalement le même malware, se différenciant surtout par le message de rançon affiché sur les systèmes infectés. La page d’extorsion d’Anubis sur le dark web compte actuellement huit victimes, indiquant que les développeurs pourraient intensifier les activités commerciales une fois les aspects techniques finalisés.
Au début de cette année, le groupe Anubis a tenté de recruter de nouveaux affiliés via des forums clandestins. L’opération RaaS proposait aux partenaires constructeurs potentiels 80 % des bénéfices malveillants, tandis que les affiliés d’extorsion de données recevaient 60 % de part. Les courtiers en accès initial pouvaient demander 50 % des revenus.
Pourquoi détruire les fichiers après leur encryption ? Les experts en sécurité estiment que les cybercriminels pourraient utiliser cette fonctionnalité pour augmenter la pression sur les victimes, les incitant à régler rapidement au lieu de négocier ou d’ignorer la menace.
Quoi qu’il en soit, le module de suppression doit être activé délibérément par les « clients » du RaaS. Ce ransomware compromet généralement un ordinateur via des courriels de phishing savamment élaborés pour imiter des sources fiables. Anubis dispose également de charges nuisibles supplémentaires pouvant exécuter des programmes en ligne de commande, élever les privilèges, supprimer des copies d’ombre sur le volume système local, entre autres.
Selon Trend Micro, le malware Anubis représente une évolution importante dans le paysage des menaces de ransomware. L’entreprise de sécurité a également fourni une liste de bonnes pratiques pour se défendre contre de telles menaces, incluant la sécurité des courriels et d’Internet, des sauvegardes régulières de données, l’éducation des utilisateurs, et plus encore.