La doble extorsión evoluciona: Anubis añade amenazas de borrado total de archivos y servidores

Introducción

La dinámica de la extorsión en los ataques de ransomware continúa evolucionando, y los actores tras el grupo Anubis están marcando un nuevo hito. Según un reciente informe de Trend Micro, los afiliados de Anubis han incorporado la amenaza de borrar de forma irreversible archivos y servidores como un mecanismo adicional de presión sobre sus víctimas. Este cambio estratégico refuerza la tendencia de sofisticación y agresividad en las tácticas de doble y triple extorsión que dominan el panorama actual del ransomware, complicando aún más la labor de los equipos de ciberseguridad.

Contexto del Incidente o Vulnerabilidad

Anubis es una operación de ransomware como servicio (RaaS) activa desde 2022, que ha ganado notoriedad por su enfoque en atacar a empresas de sectores críticos, incluyendo manufactura, finanzas y servicios profesionales, especialmente en Europa y América del Norte. Tradicionalmente, los grupos de ransomware han chantajeado a sus víctimas bajo la amenaza de cifrar sus datos y, más recientemente, de exfiltrarlos y publicarlos. Sin embargo, la novedad introducida por Anubis implica la advertencia explícita de eliminar permanentemente todos los archivos y servidores si la víctima no accede al pago del rescate en los plazos estipulados.

Esta estrategia busca doblegar la resistencia de organizaciones que, amparadas en copias de seguridad robustas o en estrategias de resiliencia, podrían optar por no negociar con los atacantes. La amenaza de un borrado total puede suponer la pérdida absoluta de activos digitales, configuraciones críticas, bases de datos y sistemas operativos, y con ello, un impacto operativo y económico devastador.

Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

Los ataques de Anubis suelen iniciar con campañas de phishing dirigidas que aprovechan vulnerabilidades conocidas en aplicaciones expuestas a Internet, como Microsoft Exchange (CVE-2021-26855, ProxyLogon) y Fortinet FortiGate (CVE-2018-13379). Posteriormente, los actores utilizan técnicas de escalada de privilegios y movimiento lateral, empleando herramientas como Cobalt Strike y Metasploit para el despliegue de payloads y la explotación de credenciales.

En cuanto a los TTPs (Tácticas, Técnicas y Procedimientos), Anubis sigue el marco MITRE ATT&CK en etapas clave como:

– Initial Access (TA0001): Spear phishing, explotación de vulnerabilidades.
– Execution (TA0002): Uso de PowerShell y scripts personalizados.
– Persistence (TA0003): Modificación de claves de registro y servicios.
– Exfiltration (TA0010): Transferencia de datos robados a servidores controlados por los atacantes.
– Impact (TA0040): Cifrado y, ahora, borrado total de activos digitales.

Indicadores de Compromiso (IoC) recientes incluyen direcciones IP asociadas a infraestructuras de mando y control (C2), hashes de ejecutables maliciosos y dominios utilizados para la comunicación con los sistemas comprometidos.

Impacto y Riesgos

El impacto de este nuevo vector de extorsión es significativo. Según estimaciones, el 43% de las empresas afectadas por ransomware en 2023 optaron por no pagar el rescate, apoyándose en copias de seguridad y planes de recuperación. Sin embargo, la amenaza de destrucción total eleva el coste potencial y el tiempo de recuperación, multiplicando el riesgo de interrupciones prolongadas, pérdida de datos irrecuperables e incluso sanciones regulatorias bajo normativas como GDPR y NIS2, especialmente si se pierden datos personales o información crítica.

El coste medio de recuperación tras un ataque de este calibre puede superar los 1,8 millones de euros, contando tiempos de inactividad, restauraciones fallidas y daños reputacionales. Además, la amenaza de borrado total puede afectar a los registros de auditoría y a la trazabilidad forense, dificultando la investigación y la denuncia ante las autoridades competentes.

Medidas de Mitigación y Recomendaciones

Ante la evolución de las tácticas de Anubis, los expertos recomiendan:

– Refuerzo de la autenticación multifactor (MFA) en todos los accesos remotos y críticos.
– Actualización urgente de sistemas y aplicaciones expuestas, priorizando la mitigación de CVEs explotadas por Anubis.
– Segmentación de redes y restricción de movimientos laterales mediante políticas de Zero Trust.
– Monitorización continua de logs y alertas para detectar actividad anómala asociada a Cobalt Strike, Metasploit y PowerShell.
– Realización periódica de ejercicios de restauración de backups aislados y testados ante escenarios de borrado total.
– Educación y concienciación específica para empleados sobre campañas de phishing dirigidas.

Opinión de Expertos

Raúl Gordillo, CISO de una multinacional tecnológica española, advierte: «El borrado total supone una escalada en la brutalidad del ransomware. Ya no basta con tener copias de seguridad: la resiliencia debe incluir la protección y monitorización activa de los propios sistemas de backup».

Por su parte, Trend Micro recalca en su informe: «La amenaza de destrucción permanente es una táctica psicológica que puede romper la moral de cualquier equipo de respuesta ante incidentes».

Implicaciones para Empresas y Usuarios

Para las empresas, la adopción de estas tácticas por parte de Anubis implica la necesidad de revisar y elevar los estándares de protección y recuperación. Los planes de continuidad de negocio y respuesta ante incidentes deben contemplar la posibilidad de una pérdida total de activos digitales.

Para los usuarios y empleados, aumenta la presión sobre comportamientos seguros y la denuncia temprana de posibles brechas, así como la importancia de la formación continua en ciberseguridad.

Conclusiones

El avance de Anubis hacia la amenaza de borrado total de archivos y servidores redefine el panorama del ransomware y exige una revisión profunda de las estrategias defensivas corporativas. La prevención, la detección temprana y la capacidad real de recuperación ante desastres se convierten en pilares críticos para cualquier organización que aspire a sobrevivir y recuperarse de una intrusión de este tipo.

(Fuente: www.darkreading.com)