Anubis es una de las incorporaciones más recientes y preocupantes al ecosistema de ransomware. Identificado por primera vez en noviembre de 2024, este actor ha demostrado en poco tiempo una capacidad operativa que lo coloca al nivel de grupos más maduros. Su enfoque en infraestructura crítica, especialmente en el sector salud, junto con la adopción de técnicas destructivas, lo convierten en una amenaza de alto impacto.
A diferencia de otros grupos emergentes, Anubis no se limita al cifrado de archivos. En ciertos incidentes ha incorporado eliminación permanente de datos, incluso después del pago del rescate, elevando la presión sobre las víctimas y rompiendo uno de los supuestos tradicionales del ransomware: que pagar garantiza la recuperación.
Modelo de negocio y operación criminal
Anubis opera bajo un esquema de Ransomware-as-a-Service (RaaS) con múltiples modalidades de monetización, diseñado para atraer afiliados con distintos niveles de participación:
RaaS estándar: el afiliado conserva el 80% del rescate; Anubis recibe el 20% por herramientas e infraestructura.
Extorsión con robo de datos: cuando hay exfiltración previa, Anubis participa en la presión y recibe el 40%.
Soporte directo en negociaciones: si Anubis gestiona la extorsión post-compromiso, las ganancias se dividen 50/50.
Este modelo flexible sugiere una estructura organizada, con capacidad de soporte técnico y operativo, y explica su rápida adopción dentro del ecosistema criminal.
Acceso inicial y primeras fases del ataque
Los ataques atribuidos a Anubis comienzan, en la mayoría de los casos, con correos de spear-phishing cuidadosamente diseñados para parecer legítimos. Estos mensajes contienen enlaces o archivos maliciosos que, al ser ejecutados, permiten la entrada inicial al entorno.
Una vez dentro, el malware:
Ejecuta comandos mediante intérpretes de scripting
Intenta elevar privilegios
Establece las condiciones necesarias para el cifrado o la destrucción de datos
Desde el punto de vista defensivo, estas fases iniciales son críticas, ya que determinan si el ataque puede ser contenido antes de que alcance un impacto irreversible.
Comportamiento técnico y capacidades clave
En sistemas Windows, Anubis actúa como ransomware completo, con capacidades que incluyen:
Cifrado de archivos usando ECIES
Eliminación de Volume Shadow Copies para impedir la recuperación
Terminación de servicios que podrían interferir con el cifrado
Escalada de privilegios mediante manipulación de tokens
Modo destructivo (wipe) que reduce archivos a 0 KB
Un detalle relevante es que Anubis evita cifrar directorios críticos del sistema (como Windows o System32), asegurando que el sistema permanezca operativo durante la extorsión.
En paralelo, Anubis también cuenta con una variante para Android, donde opera como troyano bancario:
Overlays de phishing
Keylogging y grabación de pantalla
Propagación vía SMS
Bloqueo del dispositivo y notas de rescate
Exfiltración de información sensible
Esta dualidad amplía considerablemente su superficie de ataque.
Sectores objetivo y alcance geográfico
Anubis ha sido observado atacando organizaciones en:
Salud
Construcción
Servicios profesionales
Con actividad confirmada en:
Estados Unidos
Francia
Australia
Perú
La preferencia por sectores con alta criticidad operativa incrementa la probabilidad de pago y maximiza el impacto reputacional.
Incidentes relevantes que marcan su aparición
El 13 de noviembre de 2024, una organización de salud en Victoria, Australia, detectó actividad sospechosa que derivó en la posible exfiltración de datos de pacientes, incluyendo información médica y datos de identificación. Posteriormente, el grupo Anubis reclamó públicamente el ataque, filtrando información sensible en su sitio de fugas.
Este incidente es considerado el primer caso público atribuido a Anubis y confirmó su enfoque agresivo contra el sector salud. En diciembre del mismo año, se reportó un ataque similar contra una organización sanitaria en Canadá, reforzando el patrón.
Tácticas, Técnicas y Procedimientos (TTPs) observados
| Táctica | Técnica | Descripción | MITRE ID |
|---|---|---|---|
| Acceso Inicial | Phishing | Entrega de payload malicioso vía correo electrónico | T1566 |
| Ejecución | Command & Scripting Interpreter | Uso de parámetros específicos (/KEY, /WIPEMODE, etc.) | T1059 |
| Escalada de Privilegios | Access Token Manipulation | Creación de procesos con tokens elevados | T1134.002 |
| Evasión de Defensas | Valid Accounts | Uso de cuentas legítimas para operar en el entorno | T1078 |
| Impacto | Data Encrypted for Impact | Cifrado de archivos mediante ECIES | T1486 |
| Impacto | Data Destruction | Eliminación permanente de archivos (wipe mode) | T1485 |
| Impacto | Inhibit System Recovery | Eliminación de Volume Shadow Copies | T1490 |
| Impacto | Service Stop | Terminación de servicios para facilitar el cifrado | T1489 |
| Movimiento Lateral | Remote Services | Propagación dentro de la red | T1021 |
| Exfiltración | Automated Exfiltration | Transferencia automatizada de datos | T1020 |
| Exfiltración | Transfer Data to Cloud Account | Envío de archivos a infraestructura externa | T1537 |
| Móvil | Masquerading / Overlays | Formularios falsos sobre apps legítimas | T1444 |
| Móvil | Input Capture / Screen Capture | Keylogging y grabación de pantalla | T1417 / T1517 |
¿Por qué Anubis importa HOY?
Anubis no es solo “otro ransomware nuevo”. Su combinación de modelo RaaS flexible, capacidades destructivas, enfoque en sectores críticos y operación multiplataforma lo convierten en un actor que refleja la evolución del ransomware moderno.
Analizar su comportamiento permite a los equipos de seguridad evaluar no solo la detección, sino también su capacidad real de resistencia, contención y recuperación, especialmente en escenarios donde el daño puede ser irreversible.
En un contexto donde los atacantes ya no garantizan la devolución de la información, amenazas como Anubis dejan claro que la preparación debe ir mucho más allá del cifrado: debe contemplar impacto, continuidad y resiliencia operacional.
