On connaissait les ransomwares pour leur amour du chantage : « Paie ou tu ne reverras jamais tes données ! ». Mais avec Anubis, on entre dans une nouvelle ère. Celle où le cybercriminel n’a plus besoin de rançon. Parce qu’Anubis, fidèle à son homonyanubisme égyptien, peut simplement t’enterrer numériquement – sans cérémonie, ni avis préalable.
🔥 Un ransomware pas comme les autres
Débusqué récemment, Anubis ne se contente pas de chiffrer vos fichiers. Non, monsieur veut aussi les effacer définitivement. Oui, tu as bien lu : effacer, comme un bon vieux rm -rf / mais à la sauce malveillante, automatisée, et distribuée à large échelle.
L’intelligence ? Elle réside dans le fait qu’Anubis choisit ce qu’il fait subir à ses victimes. Chiffrement, effacement, ou les deux. Et si tu te dis « c’est sûrement une erreur de script », désolé, c’est délibéré. Le malware analyse le contexte, repère la valeur potentielle de tes données… et décide si tu mérites une rançon ou un bon nettoyage par le vide.
🎯 Qui est visé ? Spoiler : toi
Anubis ne fait pas dans le ciblage chirurgical. Il se répand via les vecteurs classiques :
- Phishing bien ficelé (oui, avec ton logo d’entreprise en tête du mail),
- Exploitation de failles non corrigées (t’as mis à jour ton VPN depuis 2022 ?),
- RDP exposés (encore ? sérieusement ?).
Mais ce qui le distingue, c’est sa capacité à agir en silence, désactiver les sauvegardes (adieu Veeam), puis exécuter sa sale besogne en quelques minutes.
🧬 Une architecture redoutable
Selon les premières analyses :
- Détection d’environnements virtuels : check.
- Évasion des solutions EDR : check.
- Usage de PowerShell obfusqué, scripts BAT, DLL injectées : check, check, check.
- Supprime les shadow copies, altère les logs, nettoie les traces.
Et cerise sur le cercueil : une fois l’attaque finie, Anubis peut se désinstaller proprement. Comme un bon outil pro, sauf qu’il vient de réduire ton SI en miettes.
💡 Pourquoi ce choix de destruction ?
Deux hypothèses principales :
- Pression psychologique : pour montrer qu’on n’est pas là pour plaisanter. La destruction crée une peur nouvelle, moins rationnelle.
- Sabotage pur : dans certains cas (concurrence, espionnage, groupes APT), le but n’est pas l’argent, mais la nuisance maximale.
Dans tous les cas, payer ne garantit plus rien. Et c’est bien ça le message. Anubis ne veut pas forcément ton argent. Il veut que tu souffres. Informatique.
🛡️ Et nous, on fait quoi ?
Tu sais déjà ce qu’il faut faire… mais tu ne le fais pas toujours. Alors, un petit rappel :
- Sauvegardes régulières et hors ligne (pas juste sur le NAS monté en permanence),
- Segmentation réseau : les serveurs de prod n’ont rien à faire sur le VLAN invité.
- Supervision centralisée, corrélée, temps réel.
- Patching, enfin. Vraiment. Sérieusement.
- Et si tu peux : MFA partout, chiffrement natif, et EDR comportemental.
Enfin, forme tes équipes. Le clic de trop est encore le point d’entrée n°1.
🧩 Ce que ça dit de l’évolution des ransomware
Anubis n’est pas une anomalie, c’est une évolution logique. Dans un contexte où les entreprises renforcent leurs défenses et les cybercriminels peinent à encaisser leurs rançons à cause des sanctions internationales, le sabotage devient une alternative rentable.
Bienvenue dans l’ère du « ransomless-ransomware ». Un monde où le malware n’a plus besoin de négocier : il vient, il frappe, il détruit. Et il laisse une trace : celle de notre insouciance numérique.
🧠 À méditer : Si tes sauvegardes sont accessibles depuis le même réseau que ton serveur de prod… ce ne sont pas des sauvegardes, ce sont des copies temporaires.
