Devis de remise multi-licences
Sécurité informatique Le ransomware Anubis est une menace croissante que les...

Le ransomware Anubis est une menace croissante que les organisations ne peuvent ignorer

Par Mura en Sécurité informatique
Se traduisent par :
Français

Un nouveau groupe de ransomware, Anubis , fait des vagues dans le monde de la cybercriminalité. Selon la société de renseignement sur les menaces Kela, Anubis fonctionne comme un Ransomware-as-a-Service (RaaS), offrant à ses affiliés de multiples options de monétisation, notamment des attaques de ransomware traditionnelles, l'extorsion de données et la vente d'accès.

Bien qu'il s'agisse d'un nouvel acteur, Anubis laisse penser que des cybercriminels expérimentés se cachent derrière lui, ce qui en fait une menace sérieuse et croissante pour les entreprises du monde entier. Voici ce que les entreprises doivent savoir sur cette cybermenace en plein développement.

Ransomware Anubis : ce que nous savons jusqu'à présent

Anubis est apparu pour la première fois fin 2024, et sa présence a été principalement suivie via l'activité du dark web plutôt que par une analyse directe du code. Cela rend plus difficile l'évaluation des capacités techniques du malware, mais les premiers rapports suggèrent qu'il s'agit d'une opération très sophistiquée.

Les chercheurs de Kela ont lié Anubis à deux cybercriminels, dont l'un, « superSonic », recrute activement des affiliés via des forums clandestins comme RAMP.

Modèle économique du ransomware Anubis

Anubis n’est pas simplement une autre variante de ransomware : c’est un service d’extorsion offrant de multiples options d’attaque à ses affiliés.

  1. Attaques de ransomware classiques
    • Utilise le cryptage ChaCha+ECIES.
    • Cible les systèmes Windows, Linux, NAS et ESXi x64/x32.
    • Géré via un panneau de contrôle basé sur le Web.
    • Répartition des revenus : 80 % pour l'affilié, 20 % pour Anubis.
  2. Rançon de données (extorsion sans cryptage)
    • Les affiliés vendent des données volées sans crypter les systèmes des victimes.
    • Les données doivent être exclusives à Anubis, volées au cours des six derniers mois et suffisamment précieuses pour être exposées au public.
  • Répartition des revenus : 60 % pour l'affilié, 40 % pour Anubis.
  • Monétisation de l'accès
    • Les affiliés vendent l’accès au réseau à des victimes potentielles.
    • L'accès doit être réservé aux entreprises situées aux États-Unis, en Europe, au Canada ou en Australie.
    • La victime ne doit pas avoir été attaquée par d’autres groupes de ransomware au cours de l’année écoulée.
    • Répartition des revenus : 50 % pour l'affilié, 50 % pour Anubis.

    • Cette stratégie d’extorsion à plusieurs volets s’inscrit dans la tendance croissante des attaques de ransomware axées sur le vol de données, qui menacent les organisations en divulguant des données sensibles plutôt qu’en les cryptant.

    Les premières victimes d’Anubis : la santé dans le collimateur ?

    Bien qu'il n'ait que quelques mois d'existence, Anubis a déjà répertorié trois victimes confirmées sur son site de fuite, avec une quatrième cible, non divulguée, marquée comme « Top Secret » en date du 25 février 2025.

    L'une des premières cibles confirmées était le Pound Road Medical Centre (PRMC), un prestataire de soins de santé australien. Le PRMC a signalé une violation de données le 13 novembre 2024, mais n'a pas mentionné de ransomware, ce qui suggère qu'Anubis s'est peut-être concentré sur l'extorsion de données plutôt que sur le chiffrement dans ce cas.

    Le fait que deux des trois victimes connues d'Anubis travaillent dans le secteur de la santé est inquiétant. Les organisations médicales sont depuis longtemps des cibles privilégiées des ransomwares en raison de leur dépendance aux données des patients et de leur probabilité accrue de payer des rançons pour protéger des informations sensibles.

    Pourquoi le ransomware Anubis est une menace sérieuse

    Même s'il est encore nouveau, Anubis montre déjà des signes d'une menace majeure pour la cybersécurité. Voici pourquoi :

    • Opérateurs expérimentés – Le modèle RaaS structuré, combiné aux affirmations techniques, suggère qu'Anubis est géré par des cybercriminels chevronnés, peut-être d'anciens membres de gangs de ransomware disparus.
    • Extorsion multicouche – Contrairement aux ransomwares traditionnels, Anubis fait de l’extorsion de données sa principale source de revenus, permettant aux attaquants de réaliser des bénéfices sans déployer de chiffrement.
    • Cibler les secteurs critiques – Si les premières attaques sont une indication, les secteurs de la santé et d’autres secteurs à haut risque pourraient être des cibles clés.
  • Logiciel malveillant sophistiqué – Bien qu’aucun échantillon n’ait encore été analysé publiquement, l’utilisation revendiquée du cryptage ChaCha+ECIES et la prise en charge multiplateforme (Windows, Linux, NAS et ESXi) indiquent un ensemble d’outils d’attaque avancés.

    • Comment les organisations peuvent se protéger

    Alors qu'Anubis intensifie ses opérations, les entreprises doivent prendre des mesures proactives de cybersécurité pour se défendre contre les attaques de cryptage par ransomware et d'extorsion de données.

    • Renforcez la sécurité du réseau – Utilisez l’authentification multifacteur (MFA) et les politiques d’accès zéro confiance pour réduire les risques d’accès non autorisé.
    • Détecter et prévenir le vol de données – Mettre en œuvre des outils de prévention de la perte de données (DLP) pour surveiller et bloquer les tentatives d’exfiltration suspectes.
    • Sauvegardez régulièrement vos données critiques – Maintenez des sauvegardes hors ligne et immuables pour récupérer des attaques basées sur le chiffrement.
    • Surveillez les mentions sur le Dark Web – Les équipes de cybersécurité doivent surveiller les flux de renseignements sur les menaces pour détecter les mentions de leur organisation sur les sites de fuite de ransomware.
    • Formation des employés – Sensibilisez le personnel aux tactiques d’hameçonnage, de vol d’informations d’identification et d’ingénierie sociale couramment utilisées pour obtenir un accès initial.
    • Planification de la réponse aux incidents – Ayez une stratégie claire pour gérer les menaces de ransomware ou d’extorsion de données, y compris les réponses juridiques et de relations publiques.

    Une cybermenace croissante en 2025

    Anubis est peut-être nouveau, mais il s'avère déjà être un risque sérieux pour les entreprises du monde entier. Sa double approche de chiffrement des ransomwares et d'extorsion pure et simple de données s'aligne sur les tendances modernes de la cybercriminalité, et son orientation vers des secteurs critiques comme la santé suscite des inquiétudes supplémentaires.

    À l’approche de l’année 2025, les organisations doivent rester vigilantes, investir dans des défenses de cybersécurité et se préparer à un paysage de ransomware en constante évolution, car Anubis n’en est qu’à ses débuts.

    Votre entreprise est-elle prête à se défendre contre la prochaine attaque de ransomware ? Il est temps d'agir.

    Chargement...