Anubisランサムウェア、ファイル復旧を不可能にするワイパー機能を追加

Anubisランサムウェア、ファイル復旧を不可能にするワイパー機能を追加

BleepingComputer – June 13, 2025

RaaSオペレーション「Anubis」の暗号化ツールに、標的となったファイルを破壊する性能を持つワイパーモジュールが追加されたことをトレンドマイクロが報告。この機能が使用されれば、たとえ身代金を支払ったとしてもファイルを回復させることは不可能になるという。

Anubisは2024年12月に初めて観測され、その後2025年初頭から活動性を増している比較的新しいランサムウェア・アズ・ア・サービス（RaaS）グループ。2月23日にハッキングフォーラムRAMP上でアフィリエイトプログラムについてアナウンスしており、現時点でリークサイト上には8組の被害組織を掲載しているとされる。

掲載組織数の少なさからは、今後技術的な側面が強化されれば攻撃数も増加していく可能性が示唆されているが、実際にAnubisのオペレーターらは新機能の追加に積極的に取り組んでいることが、トレンドマイクロにより報告されている。中でも特に、ファイルのワイプという珍しい機能を持つモジュールの追加が注目に値するという。この機能はファイル復元の取り組みを妨害するためのもので、身代金交渉を遅らせたり無視したりせずすばやく支払いを行うよう被害者に圧力をかけることを目的としていると思われる。

同ワイパー機能は「/WIPEMODE」というコマンドラインパラメータを使って起動され、すべてのファイルコンテンツを消去して容量を「0 KB」にしつつ、ファイル名や構造はそのままにする。つまり、この機能が使われた場合でも被害者は想定通りのディレクトリ内にすべてのファイルが存在するのを視認できるものの、ファイルの中身は破壊されており、回復できない状態になっているという。

Anubisはこのほか、権限昇格やディレクトリ除外などに関する複数のコマンドをサポート。ボリュームシャドウコピーを削除し、暗号化プロセスに干渉し得るプロセスおよびサービスを停止し、ECIES（Elliptic Curve Integrated Encryption Scheme）を用いた暗号化システムによりファイルを暗号化する。暗号化されたファイルには「.anubis」という拡張子が追加され、影響を受けたディレクトリへ投下されるHTMLのランサムノートによって身代金交渉に応じるよう要求するという。

トレンドマイクロはAnubisの攻撃が有害なリンクや添付ファイルを含むフィッシングメールによって開始される点に触れ、対策の1つとしてソーシャルエンジニアリング戦術やフィッシングメールの危険性を認識させるための従業員教育の実施を推奨した。同社が提唱するその他の対策や分析の詳細は13日公開のブログ記事から、IoCはこのページから確認できる。

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

ランサムウェアレポート：『2024 Ransomware? What Ransomware?』

インテリジェンス要件定義に関するガイドブック：『要件主導型インテリジェンスプログラムの構築方法』

ダークウェブレポート『ディープ＆ダークウェブにおけるSNSアカウント売買とディープフェイク』