Anubis (aus „Sphinx“ hervorgegangen) ist eine seit Ende 2024 aktive RaaS-Gruppe mit flexiblem Affiliate-Modell. Ihre Besonderheit ist ein optionaler, zerstörerischer „Wipe-Mode“, der Dateiinhalte auf 0 KB überschreibt – eine Wiederherstellung wird selbst nach Lösegeldzahlung unmöglich.
Aktiv
RaaS mit mehrspurigem Affiliate-Programm (Verschlüsselung 80/20, Datenerpressung, Access-Brokerage) + Wiper
Anubis; Entwicklungsname Sphinx; Personas superSonic/Anubis__media (nicht der Android-Trojaner)
Dezember 2024 (RAMP-Launch Feb. 2025)
Rebrand/Weiterentwicklung von „Sphinx“
Osteuropäisch/russischsprachig (vermutet, unbestätigt)
Gesundheitswesen, Fertigung/Bau, Business-Services, Technologie, Finanzwesen, Recht, Energie, Logistik, Hospitality
Global; USA (Schwerpunkt), UK, Australien, Kanada, Frankreich; DACH: Ferrum AG (CH), Nachlass Nord/Abel Schillinger (DE)
unbekannt
~92 Opfer in ~18 Ländern (Juli 2026); zuletzt stark rückläufig (~-73 % MoM)
.anubis
RESTORE FILES.html (auch .txt)
Plattformen: Windows, Linux, NAS, VMware ESXi (selbstverbreitend).
Verschlüsselung: ChaCha + ECIES (ECC-Schlüsselschutz) – ohne privaten Schlüssel praktisch unumkehrbar.
Wiper: Parameter /WIPEMODE überschreibt Dateiinhalte auf 0 KB (Namen/Struktur bleiben) – macht Wiederherstellung selbst nach Zahlung unmöglich.
Schwachstellen-Management (Citrix/NetScaler), RMM-Überwachung und 24/7-Erkennung im Cyber Defense Center; unveränderliche Backups gegen den Wiper.