Anubis Ransomware: Yeni Tehditler ve Çift Mod Özelliği
Dijital dünya her geçen gün daha fazla tehdit ile karşı karşıya kalmaktadır. Anubis adı verilen yeni bir ransomware türü, dikkat çekici özellikleri ile siber güvenlik uzmanlarının radarına girmiştir. Özellikle, bu ransomware’in hem dosyaları şifreleme hem de kalıcı olarak silme kapasitesi ile donatılması, onu "nadir bir çift tehdit" haline getiriyor.
Bu ransomware’in en dikkat çekici özelliği, dosyaların kalıcı bir şekilde silinmesini sağlayan "wipe mode" özelliğidir. Bu özellik sayesinde, ransom ödensede dosyaların geri kazanımı mümkün olmamaktadır. Trend Micro araştırmacıları, bu durumu “kurbanlar için kayda değer bir risk” olarak değerlendirmektedir.
Anubis’in Arka Planı ve İlk Kez Aktif Olması
Anubis, Aralık 2024‘te aktif hale gelmiş ve özellikle sağlık, konaklama ve inşaat sektöründeki şirketlere saldırılar düzenlemiştir. Avustralya, Kanada, Peru ve ABD’deki pek çok kurbanı hedef almıştır. İlk örneklerinin analizi, geliştiricilerin başlangıçta bu ransomware’e başka bir isim olan Sphinx verdiğini göstermektedir fakat daha sonra son sürümde ismini değiştirmişlerdir.
Anubis, Android tabanlı bankacılık trojanı veya Python tabanlı bir arka kapı ile bağlantılı değildir. Bu arka kapı, finansal motivasyona sahip kabul edilen FIN7 (veya GrayAlpha) grubuna atfedilmektedir.
Ransomware-as-a-Service Modeli
Anubis, Ransomware-as-a-Service (RaaS) modeliyle çalışmaktadır. Bu model, esnek bir ortaklık programı sunmakta ve gelir paylaşım oranlarını müzakere etmeye olanak tanımaktadır. Affiliate programı, %80-%20’lik bir paylaşım sunarak, ortak aktörlerin ödenen fidyenin %80’ini almasına olanak sağlar. Diğer yandan, veri sömürüsü ile erişim monetizasyon şemaları %60-%40 ve %50-%50 gibi oranlar ile kâr dağıtımı yapmaktadır.
Anubis’in saldırı zincirleri, ilk erişim vektörü olarak phishing e-postalarını kullanmaktadır. Tehdit aktörleri, bu ilk adım sayesinde yetki artırarak keşif yapar ve gölge kopyaları silme adımlarına geçer. Sonrasında, dosyaların şifrelenmesi ve gerektiğinde içeriklerin silinmesi işlemleri gerçekleştirilir.
Kalıcı Silme Süreci ve Sonuçları
Anubis ransomware’i, dosya boyutlarını 0 KB’a düşürerek geri kazanımı imkânsız hale getirmektedir. Dosya isimleri veya uzantıları değiştirilmeden, içeriğin silinmesi sağlanır. Bu durum, mağdurlar üzerinde fidye ödemeleri için daha fazla baskı oluşturur. Araştırmacılar, "Ransomware, /WIPEMODE parametresini kullanarak dosyanın içeriğini kalıcı olarak silmektedir, bu da herhangi bir kurtarma girişimini önlemektedir" demektedir.
Anubis’in hem dosyaları şifreleme hem de kalıcı olarak yok etme yeteneği, kurbanların risklerini önemli ölçüde artırmaktadır. Bu durum, ransomware operasyonlarının genellikle kurbanlardan uyum sağlamak için artırdığı baskıyı derinleştirmektedir.
Yeni Dağıtım Yöntemleri
Anubis ransomware’i ile ilgili keşifler, aynı zamanda FIN7 grubuna ait yeni altyapıların bazı yasadışı yazılım ürünlerini taklit etmek için kullanıldığını göstermektedir. Bu durum, kullanıcıları hedef alarak daha fazla insanı kandırmayı amaçlayan bir kampanyanın parçasıdır.
Recorded Future tehdit istihbarat firması, son bir yıl içerisinde sahte tarayıcı güncellemeleri, sahte 7-Zip indirme siteleri ve diğer dağıtım yöntemleri ile kötü amaçlı yazılım dağıtımını üç benzersiz yolu ile tanımlamıştır. Sahte tarayıcı güncelleme yöntemi, MaskBat adında bir yükleyici kullanarak uzaktan erişim trojanını çalıştırmaktadır. Diğer iki enfeksiyon vektörü, PowerNet adlı özel bir PowerShell yükleyicisi kullanarak, kötü amaçlı yazılımı açmakta ve çalıştırmaktadır.
Aktif Tehditlerin Farkında Olmak
Sonuç olarak, Anubis ransomware’i, çift mod özelliği ile dikkat çekmekte ve siber güvenlik alanında yeni zorluklar ortaya çıkarmaktadır. Kurumların bu tür tehditlere karşı daha fazla bilinçlenmesi ve proaktif önlemler alması gerekmektedir. Olumsuz sonuçlarla karşılaşmamak adına kullanıcıların ve şirketlerin siber güvenlik önlemlerini güçlendirmeleri son derece önemlidir.
