Pagar no significa salvarse: Anubis borra datos sin retorno, dejando carpetas como cáscaras vacías
Un wiper disfrazado de ransomware busca su próximo objetivo.
Los operadores del ransomware Anubis han introducido un modo destructivo que no cifra archivos, sino que los elimina de forma irreversible. Esta función impide a las víctimas recuperar sus datos incluso después de pagar el rescate: el contenido es anulado, la estructura de carpetas se mantiene, pero los archivos quedan reducidos a meras apariencias vacías.
Anubis es un grupo relativamente nuevo en el mercado de Ransomware-as-a-Service (RaaS), sin relación con el malware homónimo para Android. Se detectó por primera vez en diciembre de 2024, aunque su actividad real comenzó a principios de 2025. El 23 de febrero, los atacantes anunciaron en el foro clandestino RAMP el lanzamiento de su programa de afiliados, ofreciendo reparto de ingresos: 80 % para los distribuidores directos del malware, 60 % para los encargados del chantaje y 50 % para los proveedores de acceso inicial.
Por ahora, la página de Anubis en la darknet muestra solo ocho víctimas. Todo apunta a que el grupo está en fase de pruebas técnicas antes de una campaña más masiva — y justo en este periodo han mejorado las capacidades de su malware.
Una investigación publicada por Trend Micro confirmó la presencia de esta nueva función, que va más allá del cifrado tradicional. En las muestras más recientes se ha detectado un modo especial de borrado de archivos, activado mediante la línea de comandos. Este se habilita con el parámetro /WIPEMODE, y requiere autenticación mediante una clave — no se ejecuta automáticamente, sino que necesita una orden explícita del atacante.
Una vez activado, el modo de destrucción sobrescribe el contenido de todos los archivos detectados, reduciendo su tamaño a cero. Los nombres permanecen intactos, así como la jerarquía de directorios, pero los archivos están completamente vacíos. A simple vista, la víctima sigue viendo sus documentos, pero la información ya no puede recuperarse — ni mediante descifrado, ni con herramientas forenses. Esto hace que el ataque sea completamente irreversible, incluso si se paga el rescate.
Los analistas interpretan esta función como una táctica de presión: si antes las víctimas podían ganar tiempo o ignorar las exigencias, ahora cualquier retraso puede traducirse en pérdida total de los datos. En esencia, Anubis convierte la amenaza en un hecho consumado, lo que fortalece su posición en la negociación.
El malware también acepta otros parámetros al ejecutarse. Entre ellos: comandos para elevar privilegios, selección de rutas objetivo y definición de directorios a excluir. Por defecto, los catálogos del sistema y de programas están en la lista de exclusiones, para que el sistema operativo siga funcionando.
Anubis también elimina las copias de volumen en sombra (Volume Shadow Copies), detiene procesos y desactiva servicios que podrían interferir con el cifrado. Estas acciones impiden la restauración automática mediante herramientas internas de Windows.
El programa está basado en ECIES, un esquema criptográfico que utiliza curvas elípticas. El análisis técnico mostró que la arquitectura de Anubis guarda similitudes con otros ransomware previos como EvilByte y Prince, lo que podría indicar un uso compartido de código o colaboración entre actores.
Tras completar el ataque, los archivos afectados adquieren la extensión .anubis. En cada carpeta intervenida se añade un archivo HTML con la nota de rescate. El malware también intenta cambiar el fondo de pantalla del escritorio para llamar la atención de la víctima, aunque esta función todavía es inestable y falla en la mayoría de los casos.
Los ataques de Anubis suelen comenzar con correos de phishing, que contienen archivos maliciosos o enlaces. Al abrirlos, se despliega el módulo principal, que descarga la carga útil y activa los componentes de cifrado y borrado.
Trend Micro informó que ya ha publicado una lista de indicadores de compromiso (IoC) relacionados con Anubis. Incluye firmas, hashes, dominios y artefactos de red que permiten detectar su actividad en una infraestructura comprometida.
Aunque por ahora la escala de operaciones del grupo es limitada, dada la rápida evolución técnica de la plataforma, se espera que su campaña se expanda en el corto plazo.