Một biến thể ransomware nguy hiểm mang tên Anubis đã xuất hiện từ cuối năm 2024 và nhanh chóng trở thành mối lo lớn với các tổ chức toàn cầu. Khác với các ransomware thông thường chỉ tập trung vào mã hóa dữ liệu, Anubis còn được tích hợp chế độ xóa dữ liệu vĩnh viễn (wipe mode), khiến mọi nỗ lực khôi phục dữ liệu trở nên bất khả thi.
Anubis ransomware: Vừa mã hóa, vừa xóa sạch dữ liệu
Ngay từ khi ra mắt, Anubis đã được đánh giá là ransomware thế hệ mới nhờ kết hợp mã hóa dữ liệu với khả năng phá hủy hoàn toàn thông tin. Không dừng ở đó, Anubis còn hoạt động theo mô hình Ransomware-as-a-Service (RaaS), cho phép các đối tác phân phối mã độc để đổi lấy phần trăm lợi nhuận. Trong đó, các affiliate có thể nhận tới 80% tiền chuộc, nhóm mã hóa dữ liệu hưởng 60% và bên cung cấp quyền truy cập ban đầu nhận 50%.
Tính năng “wipe mode” chính là điểm khiến Anubis trở nên đặc biệt nguy hiểm. Khi được kích hoạt, nó sẽ làm trống toàn bộ nội dung tập tin nhưng vẫn giữ lại tên và định dạng file – khiến các công cụ phục hồi hoàn toàn vô tác dụng. Nhiều doanh nghiệp đã mất sạch dữ liệu quan trọng chỉ sau một lần kích hoạt chế độ này, kể cả khi họ sẵn sàng trả tiền chuộc.
Anubis thường được phát tán qua các email giả mạo được thiết kế tinh vi. Sau khi xâm nhập vào hệ thống, mã độc sẽ nâng quyền truy cập, xóa các bản sao lưu (shadow copy), mã hóa dữ liệu và có thể kích hoạt chế độ xóa nếu affiliate lựa chọn. Nó cũng có thể chạy các đoạn mã dòng lệnh, thay đổi cấu hình hệ thống và gây thiệt hại sâu rộng hơn.
Doanh nghiệp đối mặt thách thức mới từ ransomware phá hủy dữ liệu
Theo Trend Micro, sự xuất hiện của Anubis cho thấy xu hướng mới của tội phạm mạng: chuyển từ mã hóa dữ liệu sang phá hủy hoàn toàn để ép buộc nạn nhân trả tiền chuộc. Điều này khiến các tổ chức không chỉ mất dữ liệu mà còn không có cơ hội phục hồi nếu bị kích hoạt chế độ wipe.
Hiện tại, số vụ tấn công của Anubis còn tương đối ít, chỉ ghi nhận khoảng 7–8 trường hợp tại các doanh nghiệp thuộc ngành xây dựng, y tế và kỹ thuật ở Australia, Canada, Peru và Mỹ. Tuy nhiên, với mô hình RaaS đang mở rộng và kỹ thuật không ngừng nâng cấp, nguy cơ lan rộng là điều chắc chắn. Chỉ cần một affiliate lựa chọn kích hoạt chế độ phá hủy, hậu quả có thể là mất mát toàn bộ dữ liệu vĩnh viễn.
Trước tình hình này, các chuyên gia khuyến cáo doanh nghiệp cần nhanh chóng:
- Thiết lập hệ thống sao lưu dữ liệu định kỳ và kiểm tra khả năng khôi phục.
- Tăng cường bảo mật email, phân quyền truy cập hợp lý và đào tạo nhân viên nhận biết tấn công giả mạo.
- Luôn cập nhật phần mềm và vá các lỗ hổng bảo mật quan trọng.
- Xây dựng quy trình phản ứng sự cố và thường xuyên luyện tập kịch bản tấn công mạng.
Tóm lại: Anubis là một dạng ransomware cực kỳ nguy hiểm khi kết hợp cả hai tính năng mã hóa và phá hủy dữ liệu vĩnh viễn. Trong bối cảnh mô hình RaaS phát triển mạnh, mọi tổ chức đều có thể trở thành mục tiêu tiếp theo. Việc đầu tư vào giải pháp sao lưu, bảo mật hệ thống và tăng cường nhận thức an ninh là yếu tố sống còn giúp doanh nghiệp giảm thiểu rủi ro và giữ vững dữ liệu quan trọng.