Ransomware Anubis có khả năng xóa vĩnh viễn dữ liệu, đe dọa cả khi đã trả tiền chuộc

Ransomware Anubis được phát hiện lần đầu vào tháng 12/2024 và nhanh chóng nhắm đến nhiều tổ chức trong các lĩnh vực chăm sóc sức khỏe, khách sạn và xây dựng tại Úc, Canada, Peru và Mỹ. Không chỉ mã hóa dữ liệu, mã độc này còn có cơ chế xóa hoàn toàn các tập tin bằng tham số /WIPEMODE, khiến nạn nhân không thể phục hồi dữ liệu kể cả khi chấp nhận chi tiền chuộc. Đây là chiến thuật đặc biệt nguy hiểm nhằm gia tăng áp lực tâm lý, buộc nạn nhân phải ra quyết định nhanh chóng mà không có thời gian tìm kiếm phương án phục hồi.

Nhóm tội phạm mạng đứng sau Anubis được xác định là FIN7 – tổ chức từng dính líu nhiều chiến dịch tấn công mạng lớn trên toàn cầu. Theo các chuyên gia từ Trend Micro, Anubis hoạt động theo mô hình ransomware-as-a-service (RaaS), cho phép đối tác liên kết vận hành mã độc và nhận tới 80% khoản tiền chuộc. Những kẻ cung cấp quyền truy cập ban đầu được chia 50%, còn các hoạt động tống tiền dữ liệu hoặc bán quyền truy cập được phân chia theo tỷ lệ 60-40 hoặc 50-50 tùy hình thức.

Chuỗi tấn công của Anubis thường bắt đầu bằng email lừa đảo chứa liên kết hoặc tệp đính kèm độc hại. Sau khi người dùng vô tình kích hoạt, mã độc sẽ âm thầm xâm nhập hệ thống, đánh cắp thông tin, nâng cao đặc quyền truy cập, xóa các bản sao lưu hệ thống, sau đó mã hóa và xóa hoàn toàn dữ liệu quan trọng. Đây là một trong số ít ransomware hiện nay không chỉ gây gián đoạn mà còn mang tính phá hoại toàn phần.

Mã độc tống tiền Anubis có khả năng vừa mã hóa vừa phá hủy dữ liệu.

Anubis sử dụng thuật toán mã hóa ECIES (Elliptic Curve Integrated Encryption Scheme), giống với một số chủng ransomware khác như EvilByte và Prince. Sau khi mã hóa, phần mở rộng của các tệp bị đổi thành ".anubis" và một tệp HTML ghi chú đòi tiền chuộc được chèn vào từng thư mục.

Mặc dù có tính năng thay đổi hình nền máy tính để thị uy, hiện chưa có trường hợp nào ghi nhận thành công. Đặc biệt, ransomware này tránh mã hóa các thư mục hệ thống để duy trì khả năng hoạt động của thiết bị, nhằm đảm bảo nạn nhân vẫn có thể truy cập ghi chú và thanh toán tiền chuộc.

Tính chuyên nghiệp của Anubis thể hiện rõ qua cơ chế phân phối lợi nhuận, cách tổ chức chiến dịch tấn công và khả năng mở rộng nhanh chóng. Vào tháng 2/2025, Anubis đã xuất hiện trên diễn đàn tội phạm mạng RAMP để chiêu mộ thêm thành viên, cho thấy nhóm đứng sau đang tích cực mở rộng mạng lưới.

Dù hiện tại chỉ có 8 nạn nhân được ghi nhận trên trang tống tiền của Anubis trong dark web, các chuyên gia cảnh báo đây mới chỉ là giai đoạn khởi đầu và con số có thể tăng mạnh trong thời gian tới. Trend Micro cảnh báo người dùng cần đặc biệt cảnh giác với email lạ, tuyệt đối không nhấp vào liên kết hoặc tệp đính kèm không rõ nguồn gốc, thường xuyên sao lưu dữ liệu ra thiết bị ngoài và cập nhật phần mềm bảo mật. Việc duy trì biện pháp phòng ngừa cơ bản nhưng hiệu quả là cách bảo vệ thiết thực nhất trong bối cảnh mã độc tống tiền ngày càng tinh vi và liều lĩnh.

Cảnh báo về Anubis được đưa ra trong bối cảnh Recorded Future – công ty tình báo mối đe dọa thuộc sở hữu của Mastercard công bố thông tin cho thấy nhóm FIN7 đang sử dụng cơ sở hạ tầng mới để phát tán mã độc bằng cách mạo danh các sản phẩm phần mềm hợp pháp. Ba kênh phát tán chính được ghi nhận trong năm qua gồm các trang cập nhật trình duyệt giả, trang tải phần mềm 7-Zip giả mạo và email chứa liên kết độc hại. Đến nay, chỉ còn các trang tải 7-Zip giả mạo còn hoạt động, với nhiều tên miền mới được đăng ký vào tháng 4/2025.

Trong bối cảnh tội phạm mạng gia tăng cả về quy mô lẫn mức độ tinh vi, Anubis là lời cảnh tỉnh nghiêm trọng cho mọi cá nhân và tổ chức về việc chủ động bảo vệ dữ liệu và nâng cao nhận thức an ninh mạng.

Thanh Hiền (t/h)