Anubis-Ransomware: Wenn aus Daten-Verschlüsselung die unwiederbringliche -Vernichtung wird
Eine neue Malware-Variante stellt Sicherheitsverantwortliche vor spezielle Herausforderungen: Die Anubis-Ransomware kombiniert klassische Dateiverschlüsselung mit einer radikalen Zusatzfunktion – sie kann Dateien nicht nur unzugänglich machen, sondern unwiderruflich vernichten. Damit ist selbst bei Zahlung des Lösegelds keine Wiederherstellung möglich.
Laut einer Analyse des Sicherheitsunternehmens Trend Micro handelt es sich bei Anubis um eine Ransomware-as-a-Service (RaaS)-Plattform, die seit Dezember 2024 aktiv ist. Betroffen sind bislang Unternehmen aus der Gesundheitsbranche, dem Baugewerbe und der Hotellerie in den Vereinigten Staaten, Kanada, Australien und Peru.
Was Anubis von anderen Ransomware-Familien unterscheidet, ist der sogenannte „WIPEMODE“. Über diesen Parameter wird nicht die Verschlüsselung aktiviert, sondern die Zerstörung der Dateiinhalte eingeleitet – bei gleichzeitiger Beibehaltung der Dateinamen und -endungen. Dateien werden auf 0 Kilobyte reduziert, was eine Wiederherstellung auch über forensische Mittel unmöglich macht.
Wipe & Encrypt: Warum sich der Schaden nicht rückgängig machen lässt
Diese doppelte Wirkung – natürlich kann Anubis wie andere Ransomware auch verschlüsseln – macht die Schad-Software zu einer besonders gefährlichen Erpressungswaffe. Der Druck auf Betroffene steigt massiv, da keine Aussicht mehr auf Datenwiederherstellung bleibt. Eine Datenrettung durch Lösegeldzahlung ist nicht möglich. Damit unterläuft Anubis das grundlegende Versprechen vieler anderer Erpressungstrojaner, wonach eine Zahlung zur Wiederherstellung führt.
Laut Trend Micro setzen die Entwickler der Ransomware gezielt auf diesen psychologischen Hebel. Unternehmen werden mit der endgültigen Zerstörung ihrer Daten konfrontiert – ein Szenario, das vor allem in regulierten Branchen wie dem Gesundheitswesen oder bei kritischen Infrastrukturen existenzbedrohend ist.
Technische Details: Ein flexibles Geschäftsmodell für Kriminelle
Die Betreiber von Anubis unterhalten ein Affiliate-Programm mit variabler Beteiligung:
- 80 Prozent der Lösegeldeinnahmen gehen an den Affiliate
- 60 Prozent bei Datenerpressung
- 50 Prozent bei Monetarisierung kompromittierter Zugänge
Die Angriffe beginnen in der Regel mit Phishing-E-Mails, die den initialen Zugang ermöglichen. Danach folgen Privilegieneskalation, Netzwerkausbreitung, Abschaltung von Schattenkopien und schließlich die Aktivierung der Verschlüsselungs- und Löschroutinen.
Keine Verbindung zur gleichnamigen Android-Malware
Wichtig: Anubis ist nicht zu verwechseln mit dem bekannten Android-Banking-Trojaner oder der Python-Backdoor gleichen Namens, die der Gruppe FIN7 (auch bekannt als GrayAlpha) zugeschrieben wird. Diese Ransomware stellt ein eigenständiges kriminelles Projekt dar.
Gleichwohl haben Sicherheitsexperten von Recorded Future parallel zu den Aktivitäten von Anubis neue Serverinfrastrukturen der Gruppe FIN7 identifiziert. Diese werden genutzt, um den NetSupport Remote Access Trojaner (RAT) auszuliefern. Die auf Bedrohungsanalyse spezialisierte Mastercard-Tochter hat im vergangenen Jahr drei Wege entdeckt, über die Cyberkriminelle Schadsoftware verbreiten:
- gefälschte Browser-Update-Seiten
- manipulierte 7-Zip-Download-Webseiten
- ein spezielles Weiterleitungssystem namens TAG-124 (auch bekannt als 404 TDS, Chaya_002, Kongtuke oder LandUpdate808)
Bei den gefälschten Browser-Updates kommt ein maßgeschneiderter Programmstarter namens MaskBat zum Einsatz, der eine Fernzugriffs-Schadsoftware (Remote Access Trojaner) ausführt. Die beiden anderen Methoden nutzen ein PowerShell-Skript namens PowerNet, das die Schadsoftware entpackt und startet.
Laut Recorded Future ähnelt MaskBat zwar einem bekannten Schädling namens FakeBat, ist aber stärker verschleiert und enthält Hinweise auf die Gruppe GrayAlpha. Zwar waren alle drei Infektionswege zeitgleich aktiv, doch zum Zeitpunkt der Analyse waren nur noch die gefälschten 7-Zip-Webseiten im Einsatz – mit neu registrierten Internetadressen, die bis April 2025 auftauchten.
Ransomware wird destruktiver – und komplexer
Anubis markiert einen weiteren Wendepunkt in der Entwicklung von Ransomware. Die Kombination aus Verschlüsselung und aktiver Datenvernichtung zielt nicht nur auf Erpressung, sondern auf maximale Sabotage. Für Sicherheitsverantwortliche bedeutet dies: Backups allein reichen nicht mehr. Es braucht robuste Wiederherstellungskonzepte, kontinuierliche Tests und vor allem: präventive Maßnahmen gegen initiale Zugriffsvektoren wie Phishing.
Ransomware ist längst mehr als ein Lösegeldmodell – sie ist Teil eines professionellen Angriffsökosystems. Wer heute noch auf veraltete Schutzstrategien setzt, könnte morgen vor einem unwiederbringlichen Datenverlust stehen.