Anubis Ransomware ist eine wachsende Bedrohung, die Unternehmen nicht ignorieren können

Eine neu entstehende Ransomware-Gruppe namens Anubis sorgt in der cyberkriminellen Unterwelt für Aufsehen. Laut dem Threat-Intelligence-Unternehmen Kela operiert Anubis als Ransomware-as-a-Service (RaaS) und bietet seinen Partnern mehrere Monetarisierungsoptionen, darunter traditionelle Ransomware-Angriffe, Datenerpressung und Zugangsverkäufe.

Obwohl Anubis ein neuer Akteur ist, stecken hinter ihm offenbar erfahrene Cyberkriminelle. Damit stellt es eine ernste und wachsende Bedrohung für Unternehmen weltweit dar. Hier erfahren Sie, was Unternehmen über diese wachsende Cyberbedrohung wissen müssen.

Anubis Ransomware: Was wir bisher wissen

Anubis tauchte erstmals Ende 2024 auf und seine Präsenz wurde hauptsächlich durch Darknet-Aktivitäten und nicht durch direkte Codeanalyse verfolgt. Dies macht es schwieriger, die technischen Fähigkeiten der Malware einzuschätzen, aber erste Berichte deuten darauf hin, dass es sich um eine hochentwickelte Operation handelt.

Die Forscher von Kela haben Anubis mit zwei Cyberkriminellen in Verbindung gebracht, von denen einer – „superSonic“ – über Untergrundforen wie RAMP aktiv Partner rekrutierte.

Das Geschäftsmodell von Anubis Ransomware

Anubis ist nicht nur eine weitere Ransomware-Variante – es ist ein Erpressungsdienst, der seinen Partnern mehrere Angriffsoptionen bietet.

1. Klassische Ransomware-Angriffe
   • Verwendet ChaCha+ECIES-Verschlüsselung.
   • Zielt auf Windows-, Linux-, NAS- und ESXi x64/x32-Systeme ab.
   • Verwaltung über ein webbasiertes Bedienfeld.
   • Umsatzaufteilung: 80 % an das verbundene Unternehmen, 20 % an Anubis.
2. Daten-Lösegeld (Erpressung ohne Verschlüsselung)
   • Partnerunternehmen verkaufen gestohlene Daten, ohne die Systeme der Opfer zu verschlüsseln.
   • Die Daten müssen ausschließlich Anubis gehören, innerhalb der letzten sechs Monate gestohlen worden sein und wertvoll genug sein, um öffentlich gemacht zu werden.

Diese vielschichtige Erpressungsstrategie steht im Einklang mit dem wachsenden Trend von Ransomware-Angriffen, die auf Datendiebstahl abzielen und Unternehmen bedrohen, indem sie vertrauliche Daten preisgeben, anstatt sie zu verschlüsseln.

Anubis‘ erste Opfer: Das Gesundheitswesen im Fadenkreuz?

Obwohl Anubis erst wenige Monate alt ist, sind auf seiner Leak-Site bereits drei bestätigte Opfer aufgeführt. Ein viertes, unbekanntes Ziel ist seit dem 25. Februar 2025 als „Streng geheim“ gekennzeichnet.

Eines der ersten bestätigten Ziele war das Pound Road Medical Centre (PRMC), ein australischer Gesundheitsdienstleister. PRMC meldete am 13. November 2024 einen Datenverstoß, erwähnte jedoch keine Ransomware – was darauf hindeutet, dass Anubis in diesem Fall eher auf Datenerpressung als auf Verschlüsselung fokussiert war.

Die Tatsache, dass zwei der drei bekannten Opfer von Anubis im Gesundheitswesen tätig sind, ist besorgniserregend. Medizinische Organisationen sind schon seit langem ein bevorzugtes Ziel von Ransomware, da sie auf Patientendaten angewiesen sind und die Wahrscheinlichkeit, Lösegeld zu zahlen, um vertrauliche Informationen zu schützen, höher ist.

Warum Anubis Ransomware eine ernste Bedrohung darstellt

Obwohl Anubis noch neu ist, zeigt es bereits Anzeichen dafür, dass es eine große Bedrohung für die Cybersicherheit darstellt. Hier ist der Grund:

• Erfahrene Betreiber – Das strukturierte RaaS-Modell in Kombination mit technischen Behauptungen lässt darauf schließen, dass Anubis von erfahrenen Cyberkriminellen betrieben wird, möglicherweise ehemaligen Mitgliedern nicht mehr bestehender Ransomware-Banden.
• Mehrschichtige Erpressung – Anders als herkömmliche Ransomware nutzt Anubis die Datenerpressung als primäre Einnahmequelle und ermöglicht es Angreifern, ohne den Einsatz von Verschlüsselung Profit zu machen.
• Kritische Sektoren im Visier – Wenn erste Angriffe ein Hinweis sind, könnten das Gesundheitswesen und andere Hochrisikobranchen die Hauptziele sein.

Wie sich Organisationen schützen können

Da Anubis seine Geschäftstätigkeit ausweitet, müssen Unternehmen proaktive Maßnahmen zur Cybersicherheit ergreifen, um sich sowohl vor Ransomware-Verschlüsselungsangriffen als auch vor Datenerpressungsangriffen zu schützen.

• Stärken Sie die Netzwerksicherheit – Verwenden Sie Multi-Faktor-Authentifizierung (MFA) und Zero-Trust-Zugriffsrichtlinien, um das Risiko unbefugter Zugriffe zu verringern.
• Erkennen und Verhindern von Datendiebstahl – Implementieren Sie Tools zur Verhinderung von Datenverlust (Data Loss Prevention, DLP), um verdächtige Exfiltrationsversuche zu überwachen und zu blockieren.
• Sichern Sie wichtige Daten regelmäßig – Führen Sie unveränderliche Offline-Sicherungen durch, um die Daten nach verschlüsselungsbasierten Angriffen wiederherzustellen.
• Achten Sie auf Erwähnungen im Dark Web – Cybersicherheitsteams sollten Threat Intelligence-Feeds auf Erwähnungen ihrer Organisation auf Websites mit Ransomware-Leaks verfolgen.
• Schulung der Mitarbeiter – Informieren Sie Ihre Mitarbeiter über Phishing, Diebstahl von Anmeldeinformationen und Social-Engineering-Taktiken, die häufig zum erstmaligen Zugriff verwendet werden.
• Reaktionsplanung für Vorfälle – Entwickeln Sie eine klare Strategie für den Umgang mit Bedrohungen durch Ransomware oder Datenerpressung, einschließlich rechtlicher und PR-bezogener Reaktionen.

Eine wachsende Cyber-Bedrohung im Jahr 2025

Anubis ist zwar neu, stellt aber bereits jetzt ein ernstes Risiko für Unternehmen weltweit dar. Sein dualer Ansatz aus Ransomware-Verschlüsselung und reiner Datenerpressung entspricht modernen Trends in der Cyberkriminalität, und sein Fokus auf kritische Sektoren wie das Gesundheitswesen gibt zusätzlichen Anlass zur Sorge.

Mit Blick auf das Jahr 2025 müssen Unternehmen wachsam bleiben, in die Abwehr von Cybersicherheit investieren und sich auf eine sich weiterentwickelnde Ransomware-Landschaft vorbereiten – denn Anubis steht noch ganz am Anfang.

Ist Ihr Unternehmen bereit, sich gegen den nächsten Ransomware-Angriff zu verteidigen? Jetzt ist es an der Zeit zu handeln.