トレンドマイクロ株式会社は7月8日、新興ランサムウェアグループ「Anubis」の起源や戦術の検証結果についての解説記事を発表した。
新種のランサムウェア「Anubis」をサービスとして提供・運営するAnubisグループは、RaaS(Ransomware-as-a-Service)を運用し、これまでにオーストラリア、カナダ、ペルー、米国などの地域でヘルスケア業界や建設業界を含む様々な分野への攻撃が確認されている。
Anubisグループは2024年12月に短文投稿サービス「X(旧:Twitter)」に参加、トレンドマイクロでは同時期にランサムウェア「Sphinx」の検体を発見し、解析の結果、同検体は開発途中とみられ、匿名通信システム(The Onion Router、Tor)内のWebサイトや固有IDの記載を欠いた身代金要求メッセージ(ランサムノート)を確認している。
「Anubis」と「Sphinx」のバイナリを比較した結果、ランサムノートを生成する機能にわずかな違いがあるだけで、これらのコードはほぼ同一と判明しており、トレンドマイクロでは同グループは、最終的にAnubisとして活動するためにマルウェアのコア部分は変更せず、ランサムノートの文言やブランドを再構築したと推測している。
Anubisグループは2025年にサイバー犯罪フォーラム上での活動を本格化、代表者が2つのフォーラム(RAMP:Russian Anonymous Market PlaceとXSS.is)上で、それぞれ「supersonic」と「Anubis__media」というニックネームを使用し、ロシア語で投稿していることを確認している。
Anubisグループでは最近、自身の脅迫手口にファイル暗号化やファイル消去機能を用いることが確認されており、消去機能でディレクトリの内容が消去された場合、ファイルの復元率に深刻な影響を与えるおそれがあり、トレンドマイクロでは、消去機能を採用したことが、他のRaaSグループとは一線を画し、自身の作戦に優位性を与えていると言及している。
消去機能は、ファイルの暗号化後でも被害者側の復旧作業を妨害できるように設計されており、その破壊的な性質は、被害者側にプレッシャーを与えるほか、情報漏えいやファイル暗号化などですでに損害のある状況をさらに悪化させるとしている。
