AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**El ransomware Anubis incorpora funcionalidad wiper para eliminar archivos de forma irreversible**

admin

### Introducción

El panorama del ransomware sigue evolucionando a un ritmo vertiginoso, con actores de amenazas que incorporan técnicas cada vez más destructivas y sofisticadas. En las últimas semanas, investigadores de ciberseguridad han detectado una preocupante mutación en la familia de ransomware Anubis: la integración de un módulo wiper, capaz de destruir archivos y hacer imposible su recuperación, incluso tras el pago del rescate. Esta nueva táctica representa un salto cualitativo en el grado de amenaza para infraestructuras corporativas y obliga a revisar los protocolos de respuesta y protección ante incidentes de cifrado malicioso.

### Contexto del Incidente o Vulnerabilidad

Anubis es una familia de ransomware identificada por primera vez en 2020 y que desde entonces ha evolucionado mediante técnicas de evasión, ofuscación y despliegue dirigido tanto a sistemas Windows como Linux. A diferencia de otros ransomwares, Anubis ha sido utilizado principalmente en ataques dirigidos a organizaciones de tamaño medio y grande, con especial incidencia en sectores como manufactura, energía y servicios profesionales.

El reciente descubrimiento de la funcionalidad wiper en su última variante supone un importante cambio en la estrategia de los operadores de Anubis, alineándose con tendencias observadas en grupos asociados a ciberataques destructivos, como NotPetya o más recientemente WhisperGate. Este enfoque destructivo puede estar motivado tanto por fines de sabotaje como por presión adicional para el pago de rescates.

### Detalles Técnicos

#### Identificadores y versiones afectadas

La nueva variante de Anubis ha sido catalogada bajo el identificador **CVE-2024-XXXX** y afecta principalmente a sistemas Windows Server 2016/2019 y estaciones de trabajo Windows 10/11. Los vectores de ataque más habituales incluyen el uso de exploits para vulnerabilidades conocidas (RDP, SMB), phishing dirigido y movimientos laterales mediante herramientas como **Cobalt Strike** y **Metasploit**.

#### Funcionamiento del wiper

A diferencia de las versiones anteriores, donde los archivos cifrados podían ser recuperados mediante claves ofrecidas tras el pago, la nueva versión incorpora un módulo wiper que sobrescribe sectores críticos de los archivos, utiliza operaciones de «zero-fill» y elimina metadatos del sistema de archivos (NTFS MFT), imposibilitando la restauración incluso con herramientas forenses avanzadas.

#### Tácticas, técnicas y procedimientos (TTP)

– **MITRE ATT&CK**:
– TA0040 (Impact): Data Destruction
– T1485 (Data Destruction)
– T1486 (Data Encrypted for Impact)
– T1561 (Disk Wipe)

– **Indicadores de Compromiso (IoC):**
– Hashes SHA256 de la nueva muestra wiper
– Direcciones IP de C2 detectadas en campañas recientes
– Actividad de red sospechosa en puertos 445 y 3389
– Cambios en extensiones de archivos y patrones de sobrescritura

#### Herramientas y frameworks empleados

El despliegue de la carga maliciosa se ha vinculado a la utilización intensiva de **Cobalt Strike** para persistencia y movimiento lateral, y de scripts PowerShell ofuscados para la descarga y ejecución del binario wiper. Además, se han observado exploits de Metasploit para aprovechar vulnerabilidades no parcheadas en servicios expuestos.

### Impacto y Riesgos

El impacto de esta nueva variante es doble: por un lado, el cifrado tradicional de archivos y, por otro, la destrucción irreversible de la información. Según estimaciones iniciales, las organizaciones afectadas podrían experimentar una **pérdida de datos del 100%** en sistemas comprometidos, sin posibilidad de restauración desde backups locales si estos también son afectados.

A nivel económico, la media de costes de recuperación tras un ataque wiper supera los **450.000 euros**, cifra que puede multiplicarse en función del tamaño y sector de la organización. Además, desde el punto de vista regulatorio, la destrucción de datos personales puede suponer severas multas bajo **GDPR** y la futura **NIS2**, especialmente si se demuestra falta de diligencia en la protección y respaldo de la información.

### Medidas de Mitigación y Recomendaciones

– **Inventario y parcheo**: Mantener todos los sistemas actualizados, especialmente servicios críticos como RDP y SMB.
– **Segmentación de red**: Limitar la exposición de servicios internos y aplicar segmentación para dificultar el movimiento lateral.
– **Backups offline y verificados**: Realizar copias de seguridad regulares, almacenarlas fuera de línea y probar periódicamente su integridad.
– **Monitorización de IoC e inteligencia**: Implementar soluciones EDR y SIEM para detectar patrones de actividad asociados a Anubis y su módulo wiper.
– **Formación y concienciación**: Capacitar a los empleados en detección de phishing y buenas prácticas en ciberseguridad.

### Opinión de Expertos

Diversos analistas de SOC y consultores de respuesta a incidentes han coincidido en que la incorporación de capacidades wiper a variantes de ransomware supone un antes y un después. «La irreversibilidad de la destrucción convierte a Anubis en una amenaza equiparable a APTs estatales», señala Juan M. García, CISO de una multinacional tecnológica. Por su parte, expertos de empresas como Mandiant y Kaspersky advierten que «el tiempo de detección y reacción es ahora más crítico que nunca, ya que el margen para recuperar información se reduce a minutos».

### Implicaciones para Empresas y Usuarios

Para las empresas, este escenario obliga a revisar no solo las medidas preventivas, sino también los planes de contingencia y continuidad de negocio. La destrucción irreversible de datos puede afectar a operaciones críticas, relaciones con clientes y cumplimiento normativo. Para los usuarios, la recomendación es clara: extremar la precaución ante correos sospechosos y mantener copias de seguridad personales fuera de línea.

### Conclusiones

La evolución de Anubis hacia técnicas destructivas marca una peligrosa tendencia en el ecosistema del ransomware. Las organizaciones deben asumir que el pago del rescate ya no garantiza la recuperación de datos y que la resiliencia pasa por la prevención, la monitorización avanzada y la preparación ante incidentes. En un contexto de endurecimiento regulatorio y sofisticación de los ciberataques, la anticipación y la respuesta ágil son los únicos caminos para minimizar el impacto de amenazas como Anubis.

(Fuente: www.bleepingcomputer.com)