Threat Intelligence

Anubis

Anubis bricht den Ransomware-Deal: Der optionale Wiper zerstört Dateien unwiderruflich – selbst nach einer Zahlung.

Kurz erklärt

Anubis (aus „Sphinx“ hervorgegangen) ist eine seit Ende 2024 aktive RaaS-Gruppe mit flexiblem Affiliate-Modell. Ihre Besonderheit ist ein optionaler, zerstörerischer „Wipe-Mode“, der Dateiinhalte auf 0 KB überschreibt – eine Wiederherstellung wird selbst nach Lösegeldzahlung unmöglich.

Aktiv

Modell

RaaS mit mehrspurigem Affiliate-Programm (Verschlüsselung 80/20, Datenerpressung, Access-Brokerage) + Wiper

Auch bekannt als

Anubis; Entwicklungsname Sphinx; Personas superSonic/Anubis__media (nicht der Android-Trojaner)

Gegründet

Dezember 2024 (RAMP-Launch Feb. 2025)

Entstanden aus

Rebrand/Weiterentwicklung von „Sphinx“

Herkunft

Osteuropäisch/russischsprachig (vermutet, unbestätigt)

Zielsektoren

Gesundheitswesen, Fertigung/Bau, Business-Services, Technologie, Finanzwesen, Recht, Energie, Logistik, Hospitality

Zielregionen

Global; USA (Schwerpunkt), UK, Australien, Kanada, Frankreich; DACH: Ferrum AG (CH), Nachlass Nord/Abel Schillinger (DE)

Typisches Lösegeld

unbekannt

Opferzahl

~92 Opfer in ~18 Ländern (Juli 2026); zuletzt stark rückläufig (~-73 % MoM)

File Extensions

.anubis

Ransom Note

RESTORE FILES.html (auch .txt)

Handlungsempfehlungen im Ernstfall

✅ Sofort tun
  • Ruhe bewahren und den Vorfall als Krise behandeln – Geschäftsführung und einen Incident-Response-Dienstleister sofort einbinden.
  • Betroffene Systeme isolieren, aber nicht ausschalten – flüchtige Spuren sichern.
  • NetScaler/Citrix sofort patchen (CitrixBleed 2); immutable/offline Backups sichern – der Wipe-Mode macht Wiederherstellung sonst unmöglich; unautorisierte RMM entfernen.
  • Vorfall dokumentieren; Meldepflichten prüfen: DSGVO (72 h), ggf. NIS2 (24 h); BSI und Polizei einbeziehen.
  • 24/7-Incident-Response kontaktieren – je früher, desto begrenzbarer der Schaden.
⛔ Unbedingt vermeiden
  • Nicht auf eine Zahlung als Rettung setzen – der Wiper zerstört Daten trotz Zahlung; Backups zwingend immutable/offline halten.
  • Nicht vorschnell Lösegeld zahlen – keine Garantie; Zahlungen können sanktions- und strafrechtlich relevant sein.
  • NetScaler/Citrix nicht ungepatcht lassen; RMM-Software nicht unkontrolliert zulassen.
  • Systeme nicht neu aufsetzen, bevor die Forensik gesichert ist.
  • Nicht allein mit den Angreifern verhandeln – nur über erfahrene IR-/Verhandlungsexperten.
  • Den Vorfall nicht verschweigen oder verzögern – Meldefristen laufen ab Kenntnisnahme.

Bekannte Angriffe

  • Pound Road Medical Centre (AU, Dez. 2024, Patientendaten + CCTV)
  • Disneyland Paris (Leak-Site-Eintrag)
  • Cluster Gesundheitswesen/Recht in AU/US/DE

Angriffstechniken (TTPs)

  • Initial Access: gestohlene VPN-Zugänge (Cisco AnyConnect), Phishing, CitrixBleed 2.
    • CVE-2025-5777 (NetScaler pre-auth Memory-Disclosure → Session-Hijack/MFA-Bypass)
    • MITRE: T1078, T1190, T1219, T1556, T1490, T1003
  • Vorgehen: RMM-Missbrauch (ScreenConnect, Zoho Assist, MeshAgent), vssadmin-Schattenkopien löschen; Exfil via Cloudflared, rclone, WinSCP.

Technologie & Malware

Plattformen: Windows, Linux, NAS, VMware ESXi (selbstverbreitend).

Verschlüsselung: ChaCha + ECIES (ECC-Schlüsselschutz) – ohne privaten Schlüssel praktisch unumkehrbar.

Wiper: Parameter /WIPEMODE überschreibt Dateiinhalte auf 0 KB (Namen/Struktur bleiben) – macht Wiederherstellung selbst nach Zahlung unmöglich.

Indicators of Compromise (IOCs)

  • File Extension: .anubis
  • Ransom Note: RESTORE FILES.html / .txt
  • Zerstör-Flag: /WIPEMODE; Befehl vssadmin delete shadows
  • Ausgenutzte CVE: CVE-2025-5777 (CitrixBleed 2); C2 azuremicrosoft[.]us; Tools Cloudflared/rclone/Mimikatz

Was Unternehmen jetzt prüfen sollten

  • NetScaler/Citrix patchen (CVE-2025-5777, „CitrixBleed 2“)
  • RMM-Whitelisting und -Überwachung
  • Immutable/Offline-Backups – gegen den Wiper essenziell
  • Phishing-resistente MFA

Wie Argos unterstützt

Schwachstellen-Management (Citrix/NetScaler), RMM-Überwachung und 24/7-Erkennung im Cyber Defense Center; unveränderliche Backups gegen den Wiper.