一个名为 Anubis的新型勒索软件组织已经出现，该组织采用双重勒索策略，并在勒索软件即服务（RaaS）模式下开展活动。根据 KELA 的一份报告，这个组织至少从 2024 年 11 月起就开始活跃，在 RAMP 和 XSS 等网络犯罪论坛上都能发现他们的踪迹。

2024 年 11 月 13 日，一名受害者报告了一起网络安全事件，表明该组织在 2024 年 12 月正式 “亮相” 之前就已经在实施攻击了，Anubis也因此首次受到关注。从那以后，Anubis扩大了其业务范围，向网络犯罪分子提供了多种附属项目，包括：

1.Anubis勒索软件（分成比例 80/20）—— 一种经典的勒索软件即服务模式，附属成员可获得赎金支付的 80%。

2.数据勒索（分成比例 60/40）—— 通过威胁公开被盗数据来获利。

3.访问权限变现（分成比例 50/50）—— 将企业访问凭证出售给勒索软件操作者。

根据 KELA 的报告，Anubis勒索软件具备先进的功能，包括：

1.加密算法：使用 ChaCha+ECIES 加密算法。

2.跨平台攻击目标：影响 Windows、Linux、网络附加存储（NAS）和 ESXi 等环境。

3.权限提升：获取 “NT AUTHORITY\SYSTEM” 权限。

4.横向移动：可在不同域之间自我传播。

5.管理界面：通过基于网络的面板进行控制。

这些特点表明，Anubis并非业余组织的行为，而是一个高度结构化的勒索软件服务组织。

除了基于加密的攻击手段外，Anubis还采用了复杂的勒索机制，包括：

1.调查性新闻手法：

（1）根据被盗取的企业数据撰写 “调查性文章”。

（2）将文章发布在一个隐藏的、设有密码保护的页面上。

（3）通知受影响的监管机构（如GDPR、HHS、ICO等）以增加压力。

2.谈判与威胁：

（1）受害者会接到直接电话，被告知遭受了攻击。

（2）如果他们拒绝支付赎金，所有被盗取的数据将被公开泄露。

Anubis已经宣称攻击了来自多个行业（包括医疗保健和建筑行业）的四名受害者：

1.Pound Road Medical Centre（PRMC，澳大利亚）——2024 年 11 月 13 日报告了一起数据泄露事件，涉及医疗记录和澳大利亚医疗保险信息。

2.Summit Home Health（加拿大）——2024 年 12 月 29 日，Anubis免费泄露了从该机构盗取的医疗数据。

3.Comercializadora S&E Perú—— 一家秘鲁建筑公司，其数据在 2024 年 12 月被泄露。

4.一家未透露名称的美国工程公司 —— 最新的受害者，于 2025 年 2 月 25 日被曝光。

值得注意的是，四名受害者中有两名来自医疗保健行业，这凸显了Anubis可能对关键行业的关注。

KELA 的分析表明，基于以下几点，Anubis的操作者可能是其他勒索软件组织的前附属成员：

1.结构完善的勒索方法。

2.在勒索软件开发方面的技术成熟度。

3.使用详细的调查式曝光受害者的策略。

该组织在俄语网络犯罪论坛上活动，这进一步支持了Anubis可能与之前的勒索软件犯罪集团存在关联的理论。