Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » anubis

anubis

threat-actor ciberseguridad

anubis

Anubis - Ransomware Actor Analysis

Anubis - Ransomware Actor Analysis

Grupos de Amenaza: RansomLook
Fecha Analizada: 2026-05-25
Fuentes: Anonymate Intelligence, RansomLook

Perfil del Actor: Anubis (Anubis Ransomware)

El actor de ransomware conocido como "Anubis" es una familia de malware diseñada para atacar organizaciones y empresas en países desarrollados. Se caracteriza por su alta tasa de recuperación, uso extensivo de criptografía AES-256, y capacidad para implementar operaciones de doble recuperación.

Origen y Motivación

Anubis se deriva del malware conocido como "Anubis 01", que originalmente fue desarrollado en el Reino Unido. El grupo se consolidó alrededor de 2023-2024, adaptándose a métodos modernos de ataque incluyendo exploits de CVEs y ataques vía canales oficiales (malwarebytes.com). Se ha documentado su uso tanto por usuarios individuales como por organizaciones corporativas.

Tecnicas y Tacticas (TTPs)

El equipo Anubis utiliza una combinación de técnicas para minimizar la probabilidad de detección mientras maximiza el tiempo de recuperación:

  • Ransomware sin ataque inicial: Se ejecutan scripts que se cargan automáticamente al iniciar, sin necesidad de descargar archivos maliciosos o ejecutar código en sistemas vulnerables.
  • Criptografía AES-256: Los datos son criptografados con un algoritmo robusto y una clave derivada del hash SHA-256 del host (hashing the key), lo que evita el uso de contraseñas simples.
  • Doble recuperación: Implementan una segunda copia de los archivos en otro sistema o servidor para permitir la recuperación incluso si se pierde un dispositivo.
  • Efectos psicológicos: Utilizan mensajes que prometen "reparación inmediata" y muestran datos de cifrado (ej. 10.24.35.67, 894b...) para generar urgencia.

Campanas Conocidas (Sample Data)

Cámara / Sistema Estado Descripción Técnica URL de Análisis
anubis-01-ransomlook Active (2026) Dominio de malware instalado en víctimas. Utiliza un exploit basado en CVE-2024-3879 (CVE-2024-5103) para acceder al sistema. GitHub RansomLook

Objetivos y Victimas

Anubis tiene alta prioridad en organizaciones que utilizan sistemas de archivos compartidos, servidores web o aplicaciones críticas como la cadena de suministro global (supply chain). Las víctimas más frecuentes incluyen empresas que dependen de software de terceros para sus operaciones.

Indicadores de Compromiso (IOCs)

Tipo Valor Contexto
Dominio Malicioso ransomlook.io/anubis-01 Dominio utilizado para el envío de malware y acceso al sistema.
CVE Exploit CVE-2024-3879 (CVE-2024-5103) Espacio de vulnerabilidades para el exploit.

Detección y Defensa

Fundamentalmente, la defensa contra Anubis es preventiva. Dado que no utiliza exploits externos ni archivos descargables, la detección se centra en:

  • Cambio de comportamiento del sistema (SIEM): Monitoreo para detectar scripts o cambios en el comportamiento de procesos que indiquen actividad anómala.
  • Análisis de archivos sospechosos: Escaneo automático para identificar firmas conocidas o código malicioso.
  • Sentencia del usuario (MFA): Requisito estricto de autenticación multifactor para todos los sistemas donde se ejecuta el malware.

El objetivo principal es la prevención mediante políticas de seguridad robustas y monitoreo continuo, ya que la detección en tiempo real no es viable debido a la naturaleza automatizada del ataque.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me