Bối cảnh xuất hiện

Anubis lần đầu xuất hiện vào khoảng tháng 12 năm 2024, theo thông tin từ tài khoản X (trước đây là Twitter) chính thức của nhóm KELA Cyber Threat Intelligence. Tuy nhiên, theo một số nguồn bên ngoài, nhóm này được cho là có hoạt động từ tháng 11 năm 2024 KELA Cyber Threat Intelligence — khiến thời điểm ra mắt bị kéo về sớm hơn dự kiến.

Mô hình hoạt động đa chiều

Anubis xây dựng mô hình kiếm tiền ransomware hướng về cộng tác viên (affiliate), bao gồm:

• Ransomware-as-a-Service (RaaS): chia tỷ lệ lợi nhuận 80/20, cộng tác viên hưởng phần lớn quyền lợi. 
• Data Ransom (tống tiền dữ liệu): nhóm cho phép chia doanh thu 60/40 nếu dữ liệu là độc quyền và không quá 6 tháng. 
• Phân phối truy cập (Access Monetization): chia sẻ truy cập doanh nghiệp cho đối tác để quản lý và khai thác, nhận 50% doanh thu. 

Tính năng kỹ thuật của ransomware

Theo phân tích từ KELA, ransomware của Anubis sở hữu các tính năng kỹ thuật như:

• Viết bằng ChaCha + ECIES. 
• Hoạt động trên nhiều môi trường: Windows, Linux, NAS, ESXi x64/x32. 
• Có khả năng tự lan truyền và nâng quyền tới NT AUTHORITY\SYSTEM. 
• Quản lý dễ dàng qua giao diện web panel. 

Hệ sinh thái cộng tác viên

Các chương trình hợp tác của Anubis chú trọng ba nhóm chính:

1. RaaS affiliates: tham gia tấn công trực tiếp. 
2. Data affiliates: cung cấp và bán dữ liệu đã thu thập. 
3. IABs (Initial Access Brokers): cung cấp truy cập vào mạng mục tiêu, theo yêu cầu địa lý — ưu tiên Mỹ, châu Âu, Úc, Canada. Không chấp nhận ngành giáo dục, phi lợi nhuận, hay tổ chức nhà nước.
   

Đối tượng mục tiêu và chiến lược tiếp cận

• Phạm vi mục tiêu: ưu tiên các doanh nghiệp tại Mỹ, châu Âu, Australia, Canada — tránh các tổ chức công, giáo dục và phi lợi nhuận. 
• Chiến lược áp lực: 
  • Các bài viết “điều tra” nội bộ khiến nạn nhân chịu thêm áp lực. 
  • Công bố dữ liệu cho các cơ quan quản lý (ICO, GDPR, HHS…) hay khách hàng của nạn nhân nhằm tăng tỷ lệ thanh toán.
    

Tổng kết: Vì sao Anubis là dấu hiệu cảnh báo?

Khuyến nghị bảo vệ từ KELA

1. Xác định truy cập ban đầu: Theo dõi affiliate và truy cập có chất lượng từ IABs. 
2. Phát hiện dữ liệu độc quyền: Sàng lọc trước khi dữ liệu bị chia sẻ để kịp phản ứng. 
3. Giám sát và phân tích hành vi: Nghiên cứu cách nhóm này công bố áp lực để chuẩn bị kế hoạch PR phòng ngừa. 
4. Giới hạn kỹ thuật truy cập: Áp dụng phân quyền, kiểm soát thời gian — giảm thiểu rủi ro khai thác sau khi bị xâm phạm.
   

Kết luận

Anubis cho thấy ransomware hiện nay không đơn giản là phần mềm mã hóa — mà đã trở thành mạng lưới liên kết chuyên nghiệp từ ransomware‑as‑a‑service, tống tiền dữ liệu đến khai thác truy cập. Với luật chơi ngày càng phức tạp, việc hiểu rõ từng bước và mô hình hoạt động của nhóm như Anubis là thiết yếu để doanh nghiệp gia tăng khả năng phòng thủ hiệu quả.

Thông tin hãng cung cấp giải pháp

Unitas là nhà phân phối ủy quyền tại Việt Nam của các hãng công nghệ lớn của thế giới: Commvault, ExaGrid, VergeIO, Nexsan, DDN, Tintri, MinIO, LogicMonitor, Netgain, Kela, UltraRed, Quokka, Safous, Hackuity, Cyabra, Cymetrics, ThreatDown, F-Secure, OutSystems, Micas Networks …. Với kinh nghiệm và sự am hiểu sâu sắc, Unitas cam kết mang đến cho khách hàng những sản phẩm chất lượng cùng dịch vụ hỗ trợ chuyên nghiệp. Hãy lựa chọn Unitas để đảm bảo bạn nhận được giải pháp tối ưu và đáng tin cậy nhất cho nhu cầu của mình.

Liên hệ Unitas ngay hôm nay để được tư vấn chi tiết!