Barracuda full logo

Effacer, divulguer, extorquer : le mode opératoire hybride déconcertant du ransomware Anubis

Thèmes:
11 juil. 2025
|
Christine Barry

Anubis est une opération de ransomware en tant que service (RaaS) apparue en décembre 2024, qui s’est rapidement distinguée en intégrant des capacités d’effacement de fichiers aux fonctions traditionnelles de chiffrement et d’exfiltration de données. Le groupe exploite plusieurs programmes d’affiliation avec des répartitions des revenus allant de 50 % à 80 % et cible de nombreux secteurs dans plusieurs pays, notamment l’Australie, le Canada, le Pérou et les États-Unis.

Naissance d’Anubis

Anubis aurait vu le jour sous le nom de code « Sphinx », observé pour la première fois fin 2024. Les échantillons du ransomware Sphinx comportaient des demandes de rançon qui ne mentionnaient ni site TOR ni identifiant unique, ce qui suggère que le malware était en cours de développement ou que ses développeurs étaient peu expérimentés. 

 

Note de rançon Sphinx, via Trend Micro

Note de rançon Sphinx, via Trend Micro

À peu près à la même époque, des chercheurs ont remarqué qu’un acteur malicieux appelé Anubis avait créé un compte X (anciennement Twitter), et un ransomware portant la marque Anubis a été observé peu après. En comparant les échantillons de Sphinx et d’Anubis, les chercheurs ont constaté que les fichiers binaires des malwares étaient presque identiques. 

Qui est Anubis ?

Commençons donc par préciser ce qu’Anubis n’est pas. Deux autres menaces portent le même nom. La première est un cheval de Troie bancaire pour Android observé pour la première fois en 2016. La seconde fait partie d’une boîte à outils utilisée par le groupe FIN7, également connu sous le nom de Carbanak Group. Il s’agit d’un outil personnalisé destiné aux fonctions de commande et de contrôle (C2) et à l’exfiltration de données. Cette boîte à outils a été observée pour la première fois en 2020.

Notons également que le ransomware Sphinx, qui a précédé Anubis, n’est pas la variante du ransomware BlackCat appelée « Sphynx ».

À présent, examinons ce que nous savons du groupe RaaS Anubis. Commençons par deux agents d’Anubis qui ont publié des messages sur deux forums russes consacrés à la cybercriminalité. L’utilisateur « supersonic » a publié sur le forum RAMP pour faire la promotion du RaaS et recruter des affiliés. L’utilisateur « Anubis_Media » effectue des publications similaires sur le forum XSS. Étant donné que les communications sur les forums se font généralement en russe, les chercheurs pensent que les opérateurs d’Anubis sont basés en Russie ou dans d’autres pays de la Communauté des États indépendants (CEI). D’autres facteurs viennent étayer cette théorie :

  • Les activités telles que les négociations relatives au ransomware, les mises à jour des sites de fuite et les attaques semblent avoir lieu principalement pendant les heures de travail habituelles du fuseau horaire de Moscou (MSK).
  • Les fichiers binaires du ransomware Anubis et les demandes de rançon contiennent des chaînes de caractères en russe et, parfois, des caractères russes dans le code.
  • Anubis interdit les attaques contre les anciens États soviétiques et demande spécifiquement un accès initial aux pays occidentaux.

Les analystes en sécurité soupçonnent également les opérateurs d’Anubis d’avoir de l’expérience en tant qu’opérateurs ou affiliés d’autres groupes de ransomware.

Modèle économique et monétisation

Le 23 février 2025, le groupe a annoncé un « nouveau format » de programmes d’affiliation sur le forum RAMP, avec toutes les structures de partage des revenus ouvertes à la négociation. Ce nouveau format comprenait trois canaux de monétisation distincts :

  • Programme RaaS traditionnel : comme la plupart des programmes de ransomware en tant que service, les affiliés exploitent l’infrastructure et les autres ressources d’Anubis pour attaquer leurs cibles. Anubis prélève 20 % du produit de la rançon et les 80 % restants reviennent à l’affilié.
  • Programme d’extorsion de données : ce programme s’adresse aux criminels qui souhaitent obtenir de l’aide pour monétiser des données déjà volées. Il permet aux affiliés de fournir à Anubis des données que le groupe utilisera ensuite pour extorquer la victime. Anubis exige que les affiliés fournissent des données datant de moins de six mois et qui n’ont été publiées nulle part ailleurs. Ces données doivent également être suffisamment sensibles ou intéressantes pour pouvoir être exploitées en vue d’une publication. Les affiliés reçoivent 60 % de tout ce qu’Anubis collecte.
  • Monétisation de l’accès : les courtiers en accès initial (IAB) reçoivent 50 % des recettes des attaques visant les identifiants d’accès aux réseaux d’entreprise. Les affiliés peuvent surveiller en temps réel toutes les attaques qui en résultent grâce aux mises à jour en direct fournies par Anubis.  

 

Message sur le forum XSS annonçant la monétisation de l’accès, via FalconFeeds

Message sur le forum XSS annonçant la monétisation de l’accès, via FalconFeeds

Capture d'écran partielle du post d'Anubis sur les forums RAMP, via Tammy H, LinkedIn

Capture d'écran partielle du post d'Anubis sur les forums RAMP, via Tammy H, LinkedIn

Cette approche diversifiée permet à Anubis d’élargir sa liste de victimes, d’attirer de nouveaux affiliés et de générer des revenus provenant de multiples sources. Elle réduit également la dépendance aux tactiques traditionnelles de chiffrement par ransomware. Ce modèle commercial suggère une expérience dans la gestion d’affiliés et de multiples types d’extorsion.

Capacités techniques et chaîne d'attaque d'Anubis

Anubis a recours au schéma de chiffrement intégré à courbe elliptique (ECIES) pour le chiffrement des fichiers. L’ECIES est plus avancé que les schémas cryptographiques classiques en raison de sa nature hybride, de son approche basée sur les courbes elliptiques et de l’intégration de plusieurs couches de sécurité. Cette méthode de chiffrement est rapide et légère, et pratiquement impossible à déchiffrer sans clé.

L’une des caractéristiques les plus discutées du ransomware Anubis est sa capacité à détruire des fichiers. Cette fonction est activée à l’aide d’un paramètre de ligne de commande configuré avant l’attaque. Une fois activée, les fichiers sont détruits plutôt que chiffrés. Cette méthode est inhabituelle, car la plupart des ransomwares dépendent du paiement d’une rançon pour obtenir la clé de déchiffrement.

Chaîne d'attaque Anubis

Le ransomware Anubis suit une chaîne d’attaque classique, bien qu’il inclue parfois une fonctionnalité de suppression de fichiers.

L’accès initial est souvent obtenu grâce à des campagnes de spear phishing soigneusement conçues qui exploitent des liens et des pièces jointes malveillants. Les opérateurs d’Anubis contrôlent une vaste infrastructure de phishing qui maximise les taux d’infection, échappe à la détection et soutient leurs affiliés RaaS. Le modèle RaaS d’Anubis permet également aux affiliés d’utiliser leurs propres kits de phishing.

Le ransomware Anubis est aussi déployé via des systèmes de protocole de bureau à distance (RDP) à l’aide d’exploits, d’attaques par force brute et de credential stuffing. Il a également été observé qu’il pénétrait dans les systèmes par le biais de fausses mises à jour logicielles et d’installateurs de logiciels légitimes infectés par des malwares. Les opérateurs d’Anubis fournissent aux affiliés les outils, les bases de données d’identifiants et l’infrastructure de distribution de malwares nécessaires pour mettre en œuvre toutes ces tactiques.

Le déploiement de la charge utile marque le passage de l’accès initial à l’exécution active du ransomware. Il peut être déclenché lorsqu’un utilisateur interagit avec une pièce jointe malveillante, ou automatiquement si l’accès initial se fait via une faille ou une attaque d’identifiants. Le fichier binaire Anubis analyse ensuite les paramètres de la ligne de commande qui déterminent les fichiers ciblés et s’il convient d’utiliser le programme de suppression ou le chiffrement standard. Le processus est bien plus complexe, mais ces tâches permettent de définir la portée de l’attaque.

L’élévation des privilèges commence par une tentative d’accès à \\.\PHYSICALDRIVE0, un chemin d’accès brut qui nécessite des privilèges administratifs. Ce chemin a été choisi car il aide les pirates à échapper à la détection. Comme le chemin d’accès au périphérique brut n’est pas un chemin d’accès Windows valide, le système d’exploitation ne répond pas aux appels API Windows ni aux invites du contrôle de compte d’utilisateur (UAC).

Si un accès administrateur est détecté, le ransomware tente alors d’élever davantage ses privilèges. Sinon, le fichier binaire peut soit tenter d’élever ses privilèges, soit fonctionner en mode restreint. Cette logique conditionnelle lui permet de s’adapter à différents environnements pendant une attaque.

La découverte ou l’identification de la cible commence par la reconnaissance du système de fichiers. Anubis crée un inventaire des documents, images, fichiers de base de données et archives compressées potentiellement intéressants. Le malware exclut System32 et d’autres répertoires système et d’application critiques susceptibles de déclencher des erreurs système ou d’attirer l’attention sur l’attaque.

Le contournement des défenses repose sur un ensemble de scripts et d’outils permettant de désactiver ou de contourner les mécanismes de sécurité tels que les antivirus et les outils de surveillance. Les processus de backup sont interrompus et toutes les copies fantômes sur tous les volumes sont supprimées. Cette étape consiste pour Anubis à protéger la séquence d’attaque contre toute détection et perturbation.

Bien que ces chaînes d’attaque soient conceptualisées comme une série séquentielle de tâches connexes, il est important de noter que les étapes d’une attaque moderne ne sont pas aussi clairement définies. Tout malware modulaire et capable d’automatisation et de flux d’attaque conditionnels peut exécuter plusieurs fonctions simultanément. C’est souvent le cas pour des étapes telles que l’exfiltration de données, l’élévation des privilèges, le contournement des défenses et la reconnaissance. Ainsi, une attaque par ransomware peut identifier et exfiltrer des cibles tout en tentant d’élever ses privilèges et de désactiver les défenses. Le chevauchement des étapes ou leur exécution simultanée sont fréquents dans une chaîne d’attaque.

L’exfiltration des données commence lorsqu’Anubis déplace les fichiers ciblés vers des répertoires temporaires où ils sont préparés pour l’exfiltration. Ces fichiers peuvent être compressés avant d’être transférés via des protocoles FTP ou des API de stockage dans le cloud. Ces données sont généralement transférées via des canaux chiffrés.

Le chiffrement ou la suppression des données se produit lors de la phase destructive de l’attaque. Si l’attaque se poursuit avec le chiffrement, Anubis lit puis chiffre le contenu des fichiers et renomme ces fichiers avec l’extension .anubis.   

Si le paramètre /WIPEMODE est activé, Anubis écrase le contenu des fichiers ciblés au lieu de le chiffrer. Ce processus laisse les noms de fichiers intacts, mais réduit leur taille à zéro octet. 

 

Fichiers avant leur destruction par le wiper du ransomware Anubis, via Trend Micro

Fichiers avant leur destruction par le wiper du ransomware Anubis, via Trend Micro

Fichiers après destruction par le wiper de ransomware Anubis, via Trend Micro

Fichiers après destruction par le wiper de ransomware Anubis, via Trend Micro

Anubis tente également de modifier le fond d’écran et les icônes du système de fichiers pour afficher son logo.

De nombreux analystes et journalistes se sont interrogés sur l’objectif stratégique du programme de suppression de fichiers. Si les fichiers de la victime sont écrasés, celle-ci n’a aucune raison de payer une rançon pour les déchiffrer. Toutefois, si l’auteur de la menace souhaite obtenir une rançon, il peut toujours le faire en échange des données volées. Il peut également exiger une rançon pour ne pas divulguer les données à un tiers.

La fonction de suppression est potentiellement utile si l’auteur de la menace ne souhaite pas obtenir de rançon de la victime. Si nous supposons que les opérateurs d’Anubis souhaitent tirer des revenus de chaque attaque, leurs affiliés pourraient proposer un système de monétisation à partir des données volées. Cela pourrait fonctionner pour des recherches sensibles et d’autres types de propriété intellectuelle (PI). Ainsi, un affilié pourrait voler les données, détruire la source, puis utiliser l’infrastructure des affiliés d’Anubis pour vendre les données au plus offrant. Il ne s’agit toutefois que de spéculations, et aucun rapport public ne fait état d’activités de ce type liées à Anubis.

La demande de rançon complète la chaîne d’attaque. Anubis laisse généralement un fichier appelé « RESTORE FILES.html » dans chaque répertoire affecté.  Cette demande comprend des coordonnées, des instructions de paiement, des délais et des menaces supplémentaires telles que la publication ou la vente des données de la victime. 

 

Note de rançon Anubis, via Trend Micro

Note de rançon Anubis, via Trend Micro

Victimes et perspectives

Il est difficile de dresser le profil d'Anubis, car le groupe ne compte que neuf victimes connues, et les rapports et conclusions sur l'origine et la chronologie de ses activités sont contradictoires. Cependant, nous pouvons tenter de tirer quelques enseignements de ce que nous savons sur les victimes et les données volées :

 

Date de publication Victime Données volées
19 juin 2025 Disneyland Paris – exploitant de parcs à thème Plans confidentiels d’attractions, spécifications techniques, plus de 4 000 fichiers multimédias, documentation, contrats
10 juin 2025 Parkway Construction & Architecture - Cabinet d’architecture impliqué dans la construction d’installations de défense et d’aérospatiale Plans conformes au SCIF, cartes des installations, schémas, plans des entrepreneurs (L3Harris, Virgin Galactic)
22 avril 2025 Catawba Two Kings Casino - Opérateur de casino Plans de sécurité, emplacements des coffres-forts et des caméras, schémas BOH
31 mars 2025 DG2 Design Landscape Architecture - Cabinet de conception et d'architecture paysagère Plans, contrats, documents personnels et internes
23 mars 2025 Ambleside, Inc. – prestataire de soins de santé détenant des données sensibles sur les patients et les incidents impliquant le personnel Rapports de maltraitance/négligence des patients, données médicales personnelles, contacts d'urgence
24 février 2025 First Defense Fire Protection, Inc. – entreprise de protection incendie au service des aéroports, des détaillants et des entreprises énergétiques Schémas des systèmes d’incendie, plans des bâtiments, contrats clients (Walmart, Siemens Energy, Hilton Head Airport)
24 février 2025 Comercializadora S&E Peru - Fournisseur industriel au Pérou Dossiers financiers, PII des employés/clients, documents du PDG, rapports d'incidents
24 février 2025 Pound Road Medical Centre - Clinique médicale Dossiers médicaux, passeports, rapports de violation de la sécurité, historique des vaccinations
24 février 2025 Angels of Summit - Fournisseur de soins de santé Plus de 7 000 dossiers médicaux, numéros de sécurité sociale, dates de naissance, coordonnées et rapports internes

Examinons tout d’abord quelques points communs entre les victimes. Anubis semble cibler les organisations ayant accès à des données exclusives, confidentielles ou à haut risque. Chacune des victimes détient des plans ou des schémas d’installations, des données médicales ou personnelles, ou encore des contrats et des rapports internes. Certains de ces rapports internes font état de violations de la conformité et d’abus ou contiennent d’autres informations potentiellement préjudiciables.  

Ces données volées présentent plusieurs types de risques. Les plans et schémas peuvent être employés pour saboter des équipements sensibles ou créer des menaces physiques stratégiques pour un lieu public. Les données volées à First Defense Fire Protection comprennent des schémas de systèmes de sécurité, des plans de bâtiments et d’autres informations sensibles en matière de sécurité. Les données de Disneyland comprennent des plans et des milliers de photos « en coulisses » montrant des employés, des installations et des équipements. 

 

Ensemble obscurci de données sur les victimes

Ensemble obscurci de données sur les victimes

Il existe également des milliers de documents contenant des informations médicales et financières, des dossiers disciplinaires, des contrats avec des fournisseurs, des documents de conformité, entre autres. Certaines victimes sont prêtes à payer pour empêcher que ces données ne soient divulguées au public. Si les victimes refusent, Anubis peut facilement vendre les données à des concurrents et à d’autres tiers.

Ces informations sur les victimes peuvent indiquer :

Des cibles de grande valeur et à fort impact : les agents et les affiliés d’Anubis choisissent leurs cibles avec soin. Ils visent des victimes détenant des données sensibles sur le plan opérationnel qui peuvent être exploitées à des fins d’extorsion, de revente ou pour obtenir un avantage stratégique.

L’extorsion centrée sur les données : les données volées comprennent systématiquement des plans, des schémas, des données médicales, des plans de sécurité, des détails sur les infrastructures, des contrats, des documents financiers et des rapports d’incident. Anubis accorde plus d’importance à l’exfiltration des données et aux menaces de publication qu’aux rançons traditionnelles basées sur le chiffrement.

Des motivations diverses : Anubis peut être motivé par l’espionnage ou le sabotage d’entreprises. Le type de données volées peut servir d’autres intérêts que l’extorsion directe. Ces derniers pourraient être à l’origine des attaques.

La divulgation agressive des données : les opérateurs d’Anubis divulguent rapidement les données. Une fois qu’une victime est répertoriée sur le site de divulgation d’Anubis, le compte à rebours avant la publication de l’intégralité des données commence.

 

Compte à rebours avant la publication des données d’une victime, via FalconFeeds

Compte à rebours avant la publication des données d’une victime, via FalconFeeds

Des données d’intérêt particulier : Anubis s’intéresse particulièrement aux plans, aux infrastructures et autres documents confidentiels relatifs à la construction. Le groupe pourrait se spécialiser dans le vol d’informations présentant une valeur stratégique et criminelle à la revente.

Les analystes ont besoin de plus d’informations avant de tirer des conclusions sur les motivations et les plans d’Anubis. Les données disponibles sont insuffisantes pour établir des schémas ou des motivations significatifs pour le groupe. Cela mérite réflexion, mais il est à espérer qu’Anubis disparaisse et ne nous fournisse pas d’autres informations à examiner.  

Protégez-vous

Pour protéger votre organisation contre le ransomware Anubis, privilégiez une stratégie de défense en profondeur qui inclut la segmentation du réseau, des contrôles d’accès basés sur le principe du moindre privilège et des backups robustes des données. Assurez-vous que les données sensibles relatives à l’architecture, à la santé ou aux opérations sont stockées de manière sécurisée, avec un chiffrement adéquat au repos comme en transit. Mettez en place des contrôles d’accès stricts afin que seul le personnel autorisé puisse consulter ou modifier les fichiers confidentiels tels que les plans ou les dossiers des patients. Mettez régulièrement à jour et corrigez tous les logiciels, en particulier les systèmes accessibles au public, afin de réduire le risque d’exploitation. De plus, déployez une solution telle que Barracuda Managed XDR, capable d’identifier les comportements suspects tels que les mouvements latéraux ou l’accès non autorisé aux données. Cela permettra de bloquer les menaces telles qu’Anubis pendant la phase de pré-chiffrement.

Il est également important de former vos employés à reconnaître les tentatives de phishing. Les affiliés d’Anubis et de nombreux autres acteurs malveillants sans rapport avec ce groupe utilisent le phishing et le social engineering pour compromettre les réseaux. Mettez en place une authentification multifacteur (MFA) sur tous les systèmes critiques, en particulier pour l’accès à distance, les comptes administratifs et les VPN. Pour vous défendre spécifiquement contre l’extorsion de données, chiffrez de manière proactive les fichiers sensibles et conservez des backups immuables et isolés, dont la récupération est testée régulièrement. Enfin, surveillez le dark web et les forums consacrés aux ransomwares afin de détecter les premiers signes d’activité malveillante liée à votre secteur, et mettez en place un plan de réponse aux incidents bien rodé pour réagir rapidement si vous êtes pris pour cible. Vous pouvez faire appel à un consultant ou à un fournisseur de services gérés pour vous aider à déployer vos mesures de sécurité.

Vous pouvez compter sur Barracuda

BarracudaONE est une plateforme de cybersécurité complète alimentée par l’IA qui optimise votre protection et votre cyber-résilience en unifiant vos solutions de cybersécurité dans un tableau de bord centralisé. Cette solution complète protège vos e-mails, vos données, vos applications et vos réseaux, et est renforcée par un service XDR géré 24/7. Rendez-vous sur notre site pour planifier une démo et découvrir son fonctionnement.

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 SafePay : bombes par e-mail, scams téléphoniques et rançons très élevées
SafePay : bombes par e-mail, scams téléphoniques et rançons très élevées
 Le ransomware Qilin est en pleine expansion… mais pour combien de temps ?
Le ransomware Qilin est en pleine expansion… mais pour combien de temps ?
 Cartel DragonForce Ransomware contre tout le monde
Cartel DragonForce Ransomware contre tout le monde
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.