A múmia újjászületése

Akárcsak a mozifilmnél, itt is tövig rághatjuk a körmünket izgalmunkban. Csak sajnos nem ér véget másfél óra múlva a vetítéssel, és frissen pattogatott kukorica sem jár mellé. Az új Anubis nevű RaaS, azaz ransomware bérelhető szolgáltatás a korábban csak a wiper kártevőknél ismert megsemmisítő fájltörléssel is kibővült.

Ha csak dióhéjban kellene napjaink zsarolóvírus evolúcióját összefoglalni, a 2013-as CryptoLocker volt az első, amely erős, egyedi titkosítással elkódolta a fájlokat, és a helyreállításért kriptovalutában követelt váltságdíjat.

Később ez a jelenség összekapcsolódott a dokumentumok ellopásával is, amelyet doxingnak neveznek. Ilyenkor, ha valakinek esetleg volt is biztonsági mentése, mégis hajlandó volt pénzt fizetni, hogy a bűnözők ne tegyék közzé a bizalmas információkat az interneten.

A rombolásra szakosodott, úgynevezett wiperek, vagyis adattörlő kártevők különálló csoportot alkottak, céljuk pedig a szabotázs jellegű közműleállások, szolgáltatáskimaradások és áramszünetek előidézése volt. Közülük talán a legismertebb a Hermetic Wiper, amely Ukrajnában végzett széleskörű pusztítást, komoly fenyegetést jelentve az infrastruktúrára.

A 2017-es NotPetya kártevő, amely első pillantásra ransomware-ként tűnt fel, valójában egy különleges fenyegetés volt, amely radikálisan eltért a hagyományos adatok titkosítási módszerektől. E kártevő nem csupán egyes fájlokat titkosított, hanem közvetlenül a fájlrendszer MFT-jét (Master File Table) támadta meg, ezzel súlyosan megrongálva a fájlok nyilvántartását. Ezen kívül a rendszerindítást irányító MBR-t (Master Boot Record) is módosította, ami végső soron lehetetlenné tette a tárolt állományok elérését. Az eredmény egy olyan katasztrofális helyzet lett, amely számos vállalatot és intézményt sújtott világszerte.

A legfrissebb jelentések alapján már 2024. decemberében is mutatkoztak nyomok, de az Anubis valódi aktivitása 2025 elején vált szembetűnővé. Februárban a darknetes RAMP (Ransomware and Advanced Malware Protection) fórumon megjelentek információk az Anubis partneri programjáról, amely a résztvevőknek a váltságdíj 80%-át ígérte. Ez a kártevő különféle platformokat céloz meg, beleértve a Windows, Linux, NAS és ESXi x64/x32 környezeteket, és rendkívül kifinomult módon működik.

A rendszer célzottan eltávolítja a mentésre használható árnyékmásolatokat, miközben igyekszik leállítani azokat a folyamatokat és szolgáltatásokat (mint például a biztonsági mentés vagy a vírusvédelem), amelyek megzavarhatják a titkosítási eljárást. Továbbá, különös figyelmet fordítanak arra, hogy a kritikus rendszerfájlok és programkönyvtárak ne kerüljenek az elkódolás alá.

Amennyiben a támadók, akik egy erős titkosítási módszert, mint az ECIES (Elliptikus Görbe Integrált Titkosítási Sémát) alkalmaznak, aktiválják a /WIPEMODE parancsot, a kártevő az összes fájl tartalmát eltávolítja, méretüket 0 KB-ra csökkentve. E közben a fájlnevek és a mappa struktúrája látszólag érintetlen marad. Azonban a fájlok tartalma véglegesen megsemmisül, így a visszaállítás szinte lehetetlenné válik. A szakértők megfigyelései alapján a fertőzések gyakran adathalász e-mailek útján terjednek, amelyekben kártékony linkek vagy mellékletek találhatóak.

Igazi, üzleti célú RaaS modellekben a direkt fájltörlés korábban eddig nem igazán volt jellemző, hiszen alapesetben ez csökkentené az esélyt a váltságdíj kifizetésére. Ha nincs mit helyreállítani, akkor a szolgáltatás bérlői sem tudnak ezzel pénzt keresni. Ha viszont mindezt megelőzi az adatlopás, akkor mintegy kiegészítő büntetésként is használhatják ezt a hezitáló, nem fizető áldozatoknál.

A felhasználók számára egyértelműen növekvő kockázatot jelent a helyzet, hiszen a korábban célzott és testre szabott akciók helyett a RaaS (Ransomware as a Service) rendszer elterjedése révén tömegesen terjedhetnek olyan káros kódok, amelyek rombolásra is képesek.