Ransomware Anubis

Publicado hace 11 meses 19-06-2025

A finales de diciembre del 2024 se detectó un nuevo grupo de ransomware llamado Anubis, pero hasta los últimos meses ha ido ganando notoriedad, el 25 de febrero de este año el ransomware reconoció a sus primeras 4 víctimas y recientemente el 16 de junio se detectó una táctica de ataque que utiliza la amenaza, que hace que se diferencie de los demás ransomware. Las estadísticas arrojaron que las principales víctimas de Anubis se encuentran en Estados Unidos, Perú y Australia y que se enfoca en víctimas del sector salud, construcción, ingeniería y organizaciones sin fines de lucro. 

 

La táctica que utiliza esta amenaza como acceso inicial a las víctimas es él envió de correos electrónicos de phishing y spear-phishing, estos correos parecen confiables, pero contienen enlaces o archivos maliciosos para que los ciberdelincuentes logren infiltrarse en los sistemas de las víctimas. El objetivo principal de estas campañas de phishing es obtener credenciales validas, para que los ciberdelincuentes puedan infiltrarse en los sistemas, después de lograr el acceso buscan escalar los privilegios del usuario comprometido a permisos de administrador, esta escalación la realizan mediante ejecución de comandos y script especialmente diseños por el grupo de ransomware.
  Anubis detecta privilegios de administrador y muestra un mensaje de elevación del sistema cuando se detecta.

Script utilizado por el ransomware Anubis [1] 
 

Cuando logran tener privilegios de administrador es cuando pueden acceder al disco duro principal, y desde ese momento tienen acceso a la información crítica de las víctimas. 

El siguiente paso que realiza este ransomware es cifrar los archivos, pero esta amenaza no solo cifra los datos también los elimina.  

La técnica WIPEMODE es la que diferencia al ransomware anubis de otros, y es utilizada para eliminar permanentemente el contenido de los archivos. 

 

 

 

 

Antes y después de la eliminación del contenido de los archivos [2]   

 

Después del cifrado y eliminación de los archivos, dejan una nota de rescate en donde dan los pasos a seguir para negociar el pago de rescate y así evitar que los datos sean publicados o vendidos en su página de filtración. Esta amenaza utiliza la técnica WIPEMODE para ejercer mayor presión en el pago de rescate, porque dificulta la recuperación de las víctimas. 

 

 

Nota de rescate ransomware anubis [3]   
 

A screenshot of a websiteAI-generated content may be incorrect. 

Sitio de filtración [4]   

El ransomware anubis aunque solo tiene 8 víctimas registradas ha ganado notoriedad rápidamente por sus técnicas y tácticas utilizadas para atacar a sus víctimas, y hay especialistas en ciberamenazas que pronostican que anubis aumentara su número de víctimas, ya que es una amenaza en evolución que puede convertirse en una de las peligrosas y dañinas.  

Taxonomía MITRE ATT&CK 

Táctica  

ID de la técnica 

Nombre 

Initial Access 

T1566 

Phishing 

Execution 

T1059 

Command and Scripting Interpreter 

Privilege Escalation 

T1134.002 

Access Token Manipulation: Create Process with Token 

Defense Evasion 

T1078 

Valid Accounts 

Discovery 

T1083 

File and Directory Discovery 

T1057 

Process Discovery 

Impact 

T1489 

Service Stop 

T1486 

Data Encrypted for Impact 

T1485 

Data Destruction 

Indicadores de compromiso  

IOC  

Tipo  

06edda688a05fd0eaf3a14aba20568c4 

MD5 

2137eeaa84e961b71f281bfc4c867e417253ad5f 

SHA1 

98a76aacbaa0401bac7738ff966d8e1b0fe2d8599a266b111fdc932ce385c8ed  

SHA256 

a1765503f1405b24b77a16071e6ea6f6 

MD5 

d2410703e93be61a652b92efcf42789d 

MD5 

0a5f3fc92af7aa3e448ac7b84e495fc6 

MD5 

271998018494403a9b5d0d4b01eb0c44 

MD5 

8a12e997e672b80319c5b852b237e5a9 

MD5 

f71d8db7fda7659718330efcbd0776f0 

MD5 

0f1b8aa83e5f9c40ad32561a95ed2c67 

MD5 

71ce395e8bb531ec3623b94387de8392 

MD5 

284d536dab5865150873e927a29cb0ae 

MD5 

a4b88bf440613390cd32e045a59fd7b0 

MD5 

c66022aa8b77a95c9b78a8743657f830 

MD5 

24eae2bb569d97018d343fff50112dab 

MD5 

f8a242fa6a8df6eafded0a6987a5ac09 

MD5 

1b701df9e6b5252feef3d1d8dcfe12f5 

MD5 

d9a053e54be4003cc28b41fe30790349 

MD5 

994a0c3e3e1390d972b1bdd8e8f2a449 

MD5 

4f178cefbf3fc66baed13b3c4fa897d4 

MD5 

054d432e231e8ee6e301675ef2bd598d 

MD5 

832feae0378a9b36c4958812735b6d81 

MD5 

241d01f08172a117268eb0f223348e47 

MD5 

a2d853247d939106231314bc5b233bda 

MD5 

5334cbddd1128f87308c0725d2cb012e 

MD5 

ed2510198b03435570d72ce274bc245c 

MD5 

9ef845add689fc71cae33686139efbb0 

MD5 

f1b5f6edfba8bf1312f65e7f2787c72f 

MD5 

38.134.148.20 

IP 

5.252.177.249 

IP 

Recomendaciones

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque. 

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

  • Limitar estrictamente el uso de los protocolos SMB y RDP. 

  • Realizar auditorías de seguridad. (NIST CSF, 2024) 

  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

  • Tener filtros de correo electrónico y spam. 

  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

  • Realizar copias de seguridad, respaldos o back-ups constantemente. 

  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

  • Revisar continuamente los privilegios de los usuarios. 

  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

  • Habilitar la autenticación multifactor. 

Referencias

  1. Anubis: A Closer Look at an Emerging Ransomware with Built-in Wiper. (2025, Junio 13). Trend Micro. Recuperado el 18 de junio de 2025, en: https://www.trendmicro.com/pt_br/research/25/f/anubis-a-closer-look-at-an-emerging-ransomware.html 
  2. Dimitrova, M. (2025, Junio 17). Anubis Ransomware Presents a Strategic Evolution in RaaS. Cómo, Foro de Tecnología y Seguridad PC | SensorsTechForum.com. Recuperado el 18 de junio de 2025, en: https://sensorstechforum.com/es/anubis-ransomware-raas-evolution/ 
  3. Notiulti. (2025, Junio 16). # Anubis: Ransomware borra archivos encriptados. Notiulti. Recuperado el18 de junio de 2025, en: https://www.notiulti.com/anubis-ransomware-borra-archivos-encriptados/#google_vignette 

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026

Microsoft ha publicado detalles sobre una vulnerabilidad de alta severidad en SharePoint Server que puede permitir la ejecución remota de código y comprometer entornos empresariales que usan implementaciones on‑premises. Registrada como CVE-2026-45659 y catalogad......

Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026

TeamPCP es un grupo presente desde 2025, el cual se especializa en infraestructura en la nube. Se enfoca en ejecutar ataques a cadena de suministro en varias etapas, adaptándose a los diferentes sistemas. El grupo ha conseguido afectar ecosistemas completos, así com......

Campaña de Phishing a través de Teams (Orígenes externos)
Publicado hace 3 semanas 26-05-2026

...

BOLETINES RECIENTES

...
ShinyHunters explota zero-day en Oracle PeopleSoft (CVE-2026-35273) y filtra datos de instituciones educativas
Publicado hace 2 días 16-06-2026
Leer más
...
Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026
Leer más
...
Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026
Leer más