El ransomware Anubis es una amenaza creciente que las organizaciones no pueden ignorar

Un nuevo grupo de ransomware, Anubis , está causando revuelo en el submundo cibercriminal. Según la firma de inteligencia de amenazas Kela, Anubis opera como un ransomware como servicio (RaaS), que ofrece a sus afiliados múltiples opciones de monetización, incluidos los ataques tradicionales de ransomware, la extorsión de datos y la venta de acceso.

A pesar de ser un nuevo actor, Anubis muestra signos de cibercriminales experimentados detrás de él, lo que lo convierte en una amenaza grave y creciente para las empresas de todo el mundo. Esto es lo que las organizaciones deben saber sobre esta creciente amenaza cibernética.

Ransomware Anubis: lo que sabemos hasta ahora

Anubis apareció por primera vez a fines de 2024 y su presencia se ha rastreado principalmente a través de la actividad en la red oscura en lugar de mediante el análisis directo del código. Esto dificulta la evaluación de las capacidades técnicas del malware, pero los informes iniciales sugieren que se trata de una operación muy sofisticada.

Los investigadores de Kela han vinculado a Anubis con dos ciberdelincuentes, uno de los cuales, 'superSonic', ha estado reclutando activamente afiliados a través de foros clandestinos como RAMP.

Modelo de negocio del ransomware Anubis

Anubis no es simplemente otra variante de ransomware: es un servicio de extorsión que ofrece múltiples opciones de ataque a sus afiliados.

1. Ataques clásicos de ransomware
   • Utiliza encriptación ChaCha+ECIES.
   • Está dirigido a sistemas Windows, Linux, NAS y ESXi x64/x32.
   • Gestionado a través de un panel de control basado en web.
   • Reparto de ingresos: 80% para el afiliado, 20% para Anubis.
2. Extorsión de datos (sin encriptación)
   • Los afiliados venden datos robados sin cifrar los sistemas de las víctimas.
   • Los datos deben ser exclusivos de Anubis, robados dentro de los últimos seis meses y lo suficientemente valiosos para ser expuestos públicamente.

Esta estrategia de extorsión de múltiples frentes se alinea con la creciente tendencia de ataques de ransomware centrados en el robo de datos, que amenazan a las organizaciones filtrando datos confidenciales en lugar de cifrarlos.

Las primeras víctimas de Anubis: ¿la atención sanitaria en la mira?

A pesar de tener solo unos meses de existencia, Anubis ya ha enumerado tres víctimas confirmadas en su sitio de filtraciones, con un cuarto objetivo no revelado, marcado como “Alto Secreto” a partir del 25 de febrero de 2025.

Uno de los primeros objetivos confirmados fue Pound Road Medical Centre (PRMC), un proveedor de atención médica australiano. PRMC informó de una filtración de datos el 13 de noviembre de 2024, pero no mencionó el ransomware, lo que sugiere que Anubis puede haberse centrado en la extorsión de datos en lugar del cifrado en este caso.

El hecho de que dos de las tres víctimas conocidas de Anubis trabajen en el sector sanitario es preocupante. Las organizaciones médicas han sido durante mucho tiempo los principales objetivos del ransomware debido a su dependencia de los datos de los pacientes y a su mayor probabilidad de pagar rescates para proteger información confidencial.

Por qué el ransomware Anubis es una amenaza grave

Aunque todavía es nuevo, Anubis ya muestra signos de ser una gran amenaza para la ciberseguridad. A continuación, se explica el motivo:

• Operadores experimentados: el modelo RaaS estructurado, combinado con afirmaciones técnicas, sugiere que Anubis está dirigido por ciberdelincuentes experimentados, posiblemente antiguos miembros de bandas de ransomware desaparecidas.
• Extorsión de múltiples capas: a diferencia del ransomware tradicional, Anubis impulsa la extorsión de datos como una fuente principal de ingresos, lo que permite a los atacantes obtener ganancias sin implementar cifrado.
• Ataques a sectores críticos: si los primeros ataques son una indicación, la atención médica y otras industrias de alto riesgo pueden ser objetivos clave.

Cómo pueden protegerse las organizaciones

A medida que Anubis incrementa sus operaciones, las empresas deben tomar medidas proactivas de ciberseguridad para defenderse tanto del cifrado de ransomware como de los ataques de extorsión de datos.

• Fortalezca la seguridad de la red: utilice autenticación multifactor (MFA) y políticas de acceso de confianza cero para reducir los riesgos de acceso no autorizado.
• Detectar y prevenir el robo de datos: implemente herramientas de prevención de pérdida de datos (DLP) para monitorear y bloquear intentos de exfiltración sospechosos.
• Realice copias de seguridad periódicas de datos críticos: mantenga copias de seguridad inmutables y sin conexión para recuperarse de ataques basados en cifrado.
• Monitorear las menciones en la Dark Web: los equipos de ciberseguridad deben rastrear las fuentes de inteligencia sobre amenazas en busca de menciones a su organización en sitios de filtraciones de ransomware.
• Capacitación de empleados: eduque al personal sobre tácticas de phishing, robo de credenciales e ingeniería social que se utilizan comúnmente para obtener acceso inicial.
• Planificación de respuesta a incidentes: tenga una estrategia clara para manejar amenazas de ransomware o extorsión de datos, incluidas respuestas legales y de relaciones públicas.

Una amenaza cibernética creciente en 2025

Puede que Anubis sea nuevo, pero ya está demostrando ser un riesgo grave para las empresas de todo el mundo. Su doble enfoque de cifrado de ransomware y extorsión pura de datos se alinea con las tendencias cibercriminales modernas, y su enfoque en sectores críticos como la atención médica genera alarmas adicionales.

A medida que se acerca el año 2025, las organizaciones deben mantenerse alerta, invertir en defensas de ciberseguridad y prepararse para un panorama de ransomware en constante evolución, porque Anubis apenas está comenzando.

¿Está su empresa preparada para defenderse del próximo ataque de ransomware? Ahora es el momento de actuar.