Anubis: l’evoluzione iper-aggressiva dei ransomware

19 Giu
Postato da: Davide Vacca
Categoria: Vita da Cybersecurity
Nessun commento

Cosa rende Anubis una minaccia dual-threat

Anubis è un nuovo ceppo di ransomware-as-a-service (RaaS) che sta attirando rapidamente l’attenzione della comunità cybersecurity per la sua modalità “wipe” distruttiva.  Anubis non si limita a cifrare i file ma li riduce a zero byte in caso di mancato pagamento. Questo approccio elimina la possibilità di recupero, anche tramite backup locali, rafforzando il potere ricattatorio dell’attacco.

🔗 Approfondimento Trend Micro – Analisi tecnica completa

Come funziona Anubis: Tattiche, Tecniche e Procedure (TTPs)

  • Accesso iniziale:

    • Phishing con allegati Excel o PDF malevoli;

    • Tecniche di social engineering.

 

  • Elevazione dei privilegi:

    • Verifica se è in esecuzione in ambienti sandbox o VM, se li rileva rimane inattivo.
    • Utilizza parametri CLI come /elevated per ottenere accesso admin;

 

  • Azioni distruttive:

    • Cancella copie shadow (vssadmin delete shadows);

    • Termina processi correlati a database e backup;

    • In modalità wipe, sovrascrive i file rendendoli irrecuperabili.

 

🔗 MITRE ATT&CK Mapping – Tattiche comuni dei ransomware

🎯 Perché è un problema strategico per le aziende

Con Anubis, il concetto stesso di “incident recovery” viene messo alla prova. Le organizzazioni che non dispongono di una protezione a più livelli rischiano di:

  • Perdere tutti i dati in locale;

  • Avere backup compromessi se accessibili in rete;

  • Subire danni reputazionali e legali irreversibili.

 

Il rischio non è più solo tecnico, ma strategico e di continuità operativa.

🧰 Strategie consigliate per contrastare Anubis (e i ransomware di nuova generazione)

 

1. Backup immutabili e air-gapped

Perché?
Anubis mira direttamente a cancellare i backup accessibili via rete.


Come fare:

  • Utilizzare NAS o appliance con snapshot immutabili (es. Synology Immutable Snapshots, Veeam Hardened Repository);

  • Implementare backup air-gapped: storage di backup non connessi h24 alla rete;

  • Testare periodicamente il ripristino.

2. Principio del minimo privilegio

Perché?
L’elevazione dei privilegi è uno dei primi passi del ransomware.

Come fare:

  • Utilizzare Privilege Access Management (PAM) per controllare accessi amministrativi;

  • Segmentare l’accesso ai dati tra utenti e servizi;

  • Disabilitare SMBv1 e configurare correttamente i permessi ACL.

🔗 NIST – Privilege Management

3. Formazione contro phishing e test simulati

Perché?
Il phishing è la via d’ingresso principale.

Come fare:

  • Simulare attacchi interni mensilmente (ad esempio con Smartfense);

  • Inviare newsletter di sicurezza con casi reali (Smartfence);

  • Bloccare macro Office per default.

🔗 Microsoft – Bloccare macro in Office

4. Implementare EDR/XDR e SOC 24/7

Perché?
La fase di compromissione può durare giorni prima dell’attacco.

Come fare:

  • Installare EDR con protezione comportamentale (es. SentinelOne, Sonicwall CaptureClient);

  • Integrare un SOC-as-a-Service per analisi e risposta real-time;

  • Configurare alert su:

    • Creazione di file .anubis;

    • Comandi sospetti (es. vssadmin, bcdedit, wevtutil).

🔗 MITRE – Ransomware Behavior Analytics

5. Zero Trust e segmentazione di rete

Perché?
Impedisce o rallenta la propagazione orizzontale.

Come fare:

  • Segmentare VLAN per utenti, server, backup;

  • Introdurre policy di microsegmentazione (es. firewall nextgen);

  • Monitorare accessi RDP e VPN in tempo reale.

🔗 CISA – Zero Trust Maturity Model

🧩 Kaos Informatica come ti può aiutare

Siamo al fianco dei responsabili IT per:

Audit personalizzati sulla resilienza ransomware;
Progettazione backup air-gapped e piani di continuità operativa;
Deployment di soluzioni EDR/NGAV;
Formazione anti-phishing e simulazione di phishing;
Definizione di strategie Zero Trust per la tua rete.

Contattaci per un check-up gratuito dello stato di esposizione della tua infrastruttura ai ransomware distruttivi come Anubis.

📧 info@kaosinformatica.it
🌐 www.kaosinformatica.it

✔️ Conclusioni

La minaccia Anubis segna una svolta nei ransomware: non più solo cifratura ma distruzione completa. Difendersi richiede una strategia multisettoriale, basata su backup resilienti, contenimento del privilegio, detection avanzata, segmentazione e cultura della sicurezza.

Investire in prevenzione e risposta oggi è l’unico modo per evitare di trovarsi domani con i file azzerati — e nessuna possibilità di recupero.

Compila il form Contattaci

Davide Vacca
CEO di Kaos Informatica

 

 

Copyright © 2025 Kaos Informatica di Vacca Davide | P.Iva 08367990010 | Camera di Commercio di Torino | Registro imprese n. VCCDVD75R20L219A | REA: TO-967967
Sito web realizzato da Kiwwwi di Adriana Chiabrera