勒索軟體Anubis攻擊Windows、安卓裝置竊取資料、刪除檔案

新興勒索軟體Anubis近來鎖定Windows及Android用戶發動攻擊，已在美國、歐洲、澳洲等地攻擊醫療、營建組織，能竊取資料、刪除檔案還會防止回復。

Anubis最早出現於2024年11月，為勒索軟體組織。雖然不確定是它來自哪個區域，但證據顯示攻擊者操俄語。雖然活動時間不長，但透過重大基礎架構及鎖定高價值目標（如法國迪士尼樂園）使其在網路犯罪界及資安界都引起關注。

資安公司BitSight近日發佈State of the Underground 2025報告，揭露Anubis的攻擊手法及受害者樣貌。

Anubis提供單純的RaaS (Ransomware as a Service)基礎架構，和同夥80/20分帳，也可為客戶提供資料竊取及勒索服務。在攻擊手法上，Anubis主要透過社交工程發送精準釣魚信件挾帶惡意附件或連結來駭入受害裝置、使用指令及腳本解釋器（command and scripting interpreter）及參數控制執行，還運用有效帳號躲避偵測。一旦開始行動，這隻勒索軟體最大特徵是抹除模式，像是將檔案降到0 KB。它還會避免加密系統目錄如system32、windows及program file等目錄，以防系統當機。

目前Anubis受害者涵括Android和Windows裝置。在Android平臺上，它主要以銀行木馬形式出現。它常利用大量文字簡訊散佈以擴大攻擊面、使用冒充登入提示的外覆（overlay）畫面、螢幕和鍵盤側錄來竊取憑證。受害者會被鎖住無法登入，而它一旦找到目標檔案就會外送到攻擊者控制的伺服器。

在Windows平臺上，Anubis就發揮RaaS的攻擊能力，包括會利用憑證提升權限、並在加密檔案後刪除檔案、移除磁碟區陰影拷貝（Volume Shadow Copy）避免回復可能性、它還會終止特定系統服務以利其加密及進一步降低回復可能性。

Anubis目前受害者著重特定產業，如醫療、營建和專業服務組織。目前確知其受害者分佈於美國、法國、澳洲及祕魯。澳洲一家醫院遭其竊走病患個資、醫療資訊及保險卡資訊。研究人員呼籲用戶針對其攻擊手法留意可疑的偵察或濫用行動。