Ransomware stellt eine der bedeutendsten Bedrohungen in der modernen Cyberlandschaft dar. Eine der jüngsten Gefahrenquelle mit enormer Zerstörungskraft ist die Schadsoftware Anubis, die sich seit ihrem ersten Auftauchen Ende 2024 schrittweise weiterentwickelt hat. Im Zentrum dieser Entwicklung steht die Integration einer Datenvernichtungsfunktion, die es Angreifern ermöglicht, nicht nur Daten zu verschlüsseln, sondern diese darüber hinaus unwiederbringlich zu löschen. Diese Funktion, auch Wiper genannt, hat das Angriffsspektrum von Anubis signifikant erweitert und stellt für IT-Sicherheitsverantwortliche eine neue große Herausforderung dar. Die Vernichtung der Dateien macht eine Wiederherstellung nahezu unmöglich, selbst wenn die Opfer Lösegeld zahlen sollten.
Dies sorgt für einen erhöhten Druck auf die Opfer, den Angreifern schnell nachzukommen – oder alternativ hohe Verluste hinzunehmen. Anubis wurde erstmals im Dezember 2024 entdeckt und entwickelte sich seitdem rasch weiter. Analysen von Sicherheitsspezialisten, etwa aus dem Unternehmen Trend Micro, belegen, dass die Entwickler von Anubis ihre Aktivitäten intensivieren und die Malware mit vielseitigen Funktionen versehen. Ursprünglich bestand das Geschäftsmodell hinter Anubis aus verschiedenen Ransomware-as-a-Service (RaaS)-Modellen, wobei Partnergruppen unterschiedliche Modelle zur Monetarisierung zur Verfügung gestellt wurden. Diese reichten von klassischem Verschlüsseln und Erpressen über den Verkauf von Daten bis hin zu Manipulationen beim Zugriff auf Systeme.
Die Partner konnten dabei bis zu 80 Prozent der Einnahmen aus erfolgreich ausgeführten Angriffen erhalten, was den Anreiz enorm steigerte. Die jüngste Innovation besteht in der Funktion zur Datenvernichtung, welche über einen speziellen Kommandozeilenparameter mit dem Namen /WIPEMODE aktiviert wird. Interessanterweise ist hierfür nicht nur die Aktivierung des Parameters erforderlich, sondern auch eine Schlüssel-basierte Authentifizierung. Nach Aktivierung durchläuft die Schadsoftware einen Prozess, bei dem der Inhalt der Dateien gezielt überschrieben und gelöscht wird, während die Dateinamen und die Verzeichnisstruktur erhalten bleiben. Das bedeutet, dass die Opfer zwar sämtliche ursprünglichen Dateien auf den ersten Blick sehen können, ihr Inhalt ist jedoch komplett ausgelöscht und beträgt 0 KB.
Somit wird die Wiederherstellung über herkömmliche Datenrettungsmethoden unmöglich. Diese Strategie ist besonders heimtückisch, weil sie den psychologischen Druck auf die Opfer maximiert. Noch zuvor konnten Betroffene darauf hoffen, nach einer Lösegeldzahlung zumindest einen Teil ihrer Daten zurückzuerhalten. Mit der neuen Wiper-Funktion wird diese Hoffnung erheblich geschmälert. Die Täter erhöhen so die Wahrscheinlichkeit, dass Verhandlungsprozesse verkürzt werden oder Opfer unmittelbar auf Forderungen eingehen, aus Angst vor einem vollständigen Datenverlust.
Zudem erlangt die Malware eine zerstörerische Qualität, die über die reine Verschlüsselung hinausgeht und Verwundbarkeit auf ein völlig neues Niveau hebt. Technisch basiert Anubis weiterhin auf dem ECIES-Verschlüsselungsalgorithmus (Elliptic Curve Integrated Encryption Scheme), einer Methode, die elliptische Kurven nutzt, um eine hohe Sicherheit bei vergleichsweise geringer Schlüsselgröße zu gewährleisten. Diese Art der Verschlüsselung wird von Ransomware nicht sehr häufig eingesetzt, weshalb Anubis hier als technisch hochwertig gilt. Experten sehen in dieser Verschlüsselungsmethode Ähnlichkeiten mit anderen bekannten Schadprogrammen wie EvilByte oder Prince, die ebenfalls komplexe kryptographische Verfahren verwenden, um Analysen zu erschweren und die Rückgewinnung von Daten zu verhindern. Darüber hinaus zeigt die Analyse der Schadsoftware, dass Anubis weitere fortschrittliche Funktionen mitbringt.
So kann der Trojaner Prozesse und Dienste beenden, die potenziell eine Wiederherstellung oder eine Verhinderung der Verschlüsselung behindern könnten. Außerdem entfernt die Malware Schattenkopien der Laufwerke, die sonst als Backup für die Datenwiederherstellung dienen können. Das Ausnutzen privilegierter Zugriffsrechte ist ebenfalls integriert, sodass der Schädling erhöhte Systemrechte erlangen kann, um damit nahezu uneingeschränkt auf das angegriffene Gerät zuzugreifen. Die Cyberkriminellen hinter Anubis bauen ihr Werk kontinuierlich aus und perfektionieren ihre Angriffe. Experten gehen davon aus, dass die neu eingerichteten Funktionen nicht nur der Erpressung dienen, sondern auch der Sicherstellung der Effektivität des Angriffes.
Die erhöhte Komplexität des Angriffs macht es traditionellen Schutzmaßnahmen zunehmend schwerer, effektive Abwehrmechanismen zu etablieren. Der multifunktionale Schadcode mit integrierter Vernichtung von Dateien markiert den Trend zu einer aggressiveren und destruktiveren Malware-Generation. Betroffene und Sicherheitsverantwortliche sind somit gezwungen, ihre Verteidigungsstrategie anzupassen. Präventive Maßnahmen wie regelmäßige Backups, Segmentierung von Netzwerken und Einsatz moderner Erkennungssysteme müssen konsequent durchgesetzt werden. Gleichzeitig gewinnt die Sensibilisierung der Benutzer einen hohen Stellenwert, da Angriffe meist durch Phishing oder das Ausnutzen von Sicherheitslücken starten.
Ein weiterer wichtiger Aspekt ist die schnelle Erkennung eines Angriffs und die koordinierten Reaktionsmaßnahmen, um die Ausbreitung der Malware zu stoppen. Aufgrund der Fortschritte bei Ransomware wie Anubis empfehlen Sicherheitsexperten auch, sich nicht ausschließlich auf die Zahlung von Lösegeld als Mittel zur Wiederherstellung der Daten zu verlassen. Die Gefahr, dass der Angriff durch Funktionen wie Datenvernichtung eskaliert, ist mittlerweile Realität. Darüber hinaus sind Behörden und Sicherheitsbehörden weltweit zunehmend aktiv, um Tätergruppen zu verfolgen und Angriffen präventiv entgegenzuwirken. Die Weiterentwicklung von Anubis und anderer Ransomware zeigt auf alarmierende Weise, wie Cyberkriminalität immer raffinierter wird und welche Herausforderungen dahinterstehen.
Betroffenen Organisationen bleibt nur, ihre Systeme umfassend abzusichern sowie ihre Mitarbeiter kontinuierlich zu schulen. Nur durch verbesserte Sicherheitsmaßnahmen und schnelle Reaktion kann der Schaden durch solche schwerwiegenden Angriffe begrenzt werden. Die Integration von Wiper-Funktionen in Ransomware gehört mittlerweile zu den gefährlichsten Modellen der Datenerpressung und benötigt höchste Aufmerksamkeit von Firmen, Behörden und Privatnutzern gleichermaßen. Abschließend zeigt der Fall Anubis, dass die Bedrohung durch Ransomware sich weiterentwickelt und immer destruktiver wird. Die Kombination aus komplexer Verschlüsselung, ausgefeilter Löschung von Daten und multifunktionalen Angriffsszenarien erfordert ein ganzheitliches und proaktives Sicherheitsdenken.
In einer digitalisierten Welt ist dies unverzichtbar, um die eigenen Daten und die IT-Infrastruktur wirksam zu schützen. Anubis ist damit nicht nur ein Beispiel für technische Innovationen in der Malware-Entwicklung, sondern auch ein Weckruf für die gesamte Cybercommunity.
