Kela เตือนภัยกลุ่มแรนซัมแวร์ใหม่ ‘Anubis’ ดำเนินการในรูปแบบ RaaS

บริษัทด้านข่าวกรองภัยคุกคาม Kela ออกคำเตือนเกี่ยวกับกลุ่มแรนซัมแวร์ใหม่ชื่อ Anubis ซึ่งดำเนินการในรูปแบบ Ransomware-as-a-Service (RaaS) และเปิดโอกาสให้พันธมิตรเข้าร่วมด้วยตัวเลือกที่หลากหลาย

กลุ่ม Anubis ปรากฏตัวครั้งแรกในช่วงปลายปี 2024 นักวิจัยของ Kela เชื่อว่าสมาชิกของกลุ่มนี้มีประสบการณ์เกี่ยวกับแรนซัมแวร์ทั้งในด้านพัฒนาโปรแกรมและการดำเนินงาน ข้อมูลเกี่ยวกับกลุ่มนี้มาจากการวิเคราะห์ร่องรอยบนดาร์กเว็บมากกว่าการวิเคราะห์โค้ดของมัลแวร์โดยตรง

เช่นเดียวกับกลุ่มแรนซัมแวร์อื่น ๆ ในปัจจุบัน Anubis ใช้เทคนิคการรีดไถสองชั้น (Double Extortion) ซึ่งหมายความว่านอกจากการเข้ารหัสข้อมูลเพื่อเรียกค่าไถ่แล้ว กลุ่มนี้ยังขู่จะเปิดเผยข้อมูลที่ถูกขโมยหากเหยื่อไม่ยอมจ่าย นักวิจัยของ Kela ระบุว่า “Anubis เป็นภัยคุกคามใหม่ที่กำลังเติบโต และสะท้อนถึงแนวทางธุรกิจของอาชญากรไซเบอร์ในยุคปัจจุบัน”

เปิดตัวโปรแกรมพันธมิตร Anubis บนฟอรัมอาชญากรรมไซเบอร์

Kela รายงานว่ากำลังติดตามการเคลื่อนไหวของสมาชิกกลุ่ม Anubis สองคนบนดาร์กเว็บและแพลตฟอร์ม X โดยหนึ่งในนั้นคือผู้ใช้ที่ใช้ชื่อว่า ‘superSonic’ ได้ประกาศเปิดตัวโปรแกรมพันธมิตรใหม่บนฟอรัมอาชญากรรมไซเบอร์ RAMP เมื่อวันที่ 23 กุมภาพันธ์ 2025 ซึ่งประกอบด้วย 3 ตัวเลือกหลัก ได้แก่

1. Anubis Ransomware – เป็นแรนซัมแวร์แบบดั้งเดิมที่ให้พันธมิตรได้รับส่วนแบ่ง 80% ของค่าไถ่ที่ได้รับ โดยมัลแวร์ถูกพัฒนาด้วยการเข้ารหัส ChaCha+ECIES และสามารถโจมตีระบบปฏิบัติการ Windows, Linux, NAS และ ESXi (ทั้ง x64 และ x32) โดยมีการจัดการผ่านพอร์ทัลออนไลน์
2. Anubis Data Ransom – บริการสร้างรายได้จากข้อมูลที่ถูกขโมยมาแล้ว โดยข้อมูลต้องเป็น เอกสิทธิ์เฉพาะของ Anubis ถูกขโมยมาไม่เกิน 6 เดือน และต้องเป็นข้อมูลที่ มีความน่าสนใจสำหรับการเผยแพร่ รายได้จากโปรแกรมนี้แบ่งเป็น 60% ให้กับพันธมิตร และ 40% ให้กับ Anubis

3. Access Monetization – รูปแบบการสร้างรายได้จากการขายสิทธิ์เข้าถึงระบบ โดยนายหน้าขายสิทธิ์จะได้รับ 50% ของรายได้ ที่เกิดขึ้นในภายหลัง อย่างไรก็ตาม สิทธิ์เข้าถึงที่นำมาขายนั้นต้องอยู่ใน สหรัฐฯ ยุโรป แคนาดา หรือออสเตรเลีย และเป้าหมายต้องไม่เคยถูกโจมตีโดยกลุ่มแรนซัมแวร์อื่นภายใน หนึ่งปีที่ผ่านมา

บทสรุปที่น่าสนใจ

การปรากฏตัวของกลุ่ม Anubis เป็นสัญญาณของภัยคุกคามไซเบอร์ที่ยังคงพัฒนาและปรับตัวอย่างต่อเนื่อง กลุ่มนี้ไม่เพียงใช้เทคนิคการรีดไถสองชั้นเท่านั้น แต่ยังมีโครงสร้างธุรกิจที่ชัดเจนเพื่อดึงดูดพันธมิตรให้เข้าร่วม Kela ยังคงติดตามพฤติกรรมของกลุ่มนี้อย่างใกล้ชิดและเตือนองค์กรต่าง ๆ ให้เตรียมรับมือกับความเสี่ยงจากแรนซัมแวร์ที่เพิ่มขึ้น

รายละเอียด : SCW