Эксперты департамента киберразведки (Threat Intelligence) компании F6 зафиксировали в даркнете новую партнёрскую программу Anubis. На первый взгляд она похожа на многие другие, распространяющие программы-вымогатели по модели RaaS (Ransomware as a Service), когда владельцы вредоносного ПО предоставляют его «в аренду» за процент от полученных выкупов. Но среди криминальных предложений от Anubis аналитики F6 обнаружили бизнес-модель, которая ранее не встречалась.
Первая схема, предлагаемая Anubis – привычная модель RaaS: партнёрам предлагают для использования самописную программу-шифровальщик.
В схеме Data Ransom в качестве услуги впервые предлагается уже не ВПО, а шантаж. Обычно злоумышленники сами взламывают компании и требуют у них выкуп за неразглашение чувствительных данных. Владелец программы, скрытый под ником superSonic, решил разделить эти процессы. Злоумышленникам, которые уже взломали компании и похитили их данные, но ещё не воспользовались ими, Anubis предлагает услуги по переговорам с атакованными организациями для получения выкупа. Инструменты давления на жертв включают информирование контрагентов компаний и клиентов, контролирующих организаций, а также публикации в соцсети X.
Ещё одна модель от партнёрской программы, которая не нова, но встречается нечасто – отработка доступов в компании для последующих атак. Партнёр предоставляет доступ в компанию, а команда сервиса берёт всю дальнейшую работу на себя. В случае успеха вознаграждение делится пополам. В модели RaaS прибыль распределяется по схеме 80/20 (большая часть криминального дохода остаётся партнёру, оставшееся забирает себе владелец шифровальщика), в модели Data Ransom - 60/40. Для всех моделей установлен запрет работать по странам, когда-либо входившим в СНГ.
Аналитики F6 Threat Intelligence считают, что Anubis – это усовершенствованная версия партнёрской RaaS-программы InvaderX. В пользу этой версии говорят факты.
Используется одна и та же схема шифрования – ECIES (алгоритм шифрования на основе эллиптических кривых), которая встречается редко.
Ещё одно совпадение – запрет для партнёров атаковать страны БРИКС, это тоже редкость.
Пользователь InvaderX перестал обновлять информацию о партнерском сервисе с ноября 2024 года и не активен на форумах как минимум с января 2025-го. В свою очередь, пользователь superSonic зарегистрирован на форуме полгода назад, но сообщение о программе Anubis стало для него первым.
Участники партнёрского сервиса уже приступили к активным действиям: на момент исследования они опубликовали данные утечек как минимум 4 компаний из США, Австралии и Перу.
