Anubis, una operación de ransomware como servicio (RaaS), acaba de ponerse aún más peligrosa. Ahora su malware no solo cifra los archivos de la víctima, sino que también los destruye por completo, haciendo que sea imposible recuperarlos, incluso si se paga el rescate.
Ojo, no estamos hablando del Anubis que afecta a Android, sino de otra amenaza distinta con el mismo nombre. Este Anubis apareció por primera vez en diciembre de 2024 y, aunque al principio pasó algo desapercibido, empezó a moverse con fuerza a comienzos de este año.
De hecho, el 23 de febrero de 2025, los responsables del ransomware anunciaron un programa de afiliados en el foro RAMP, buscando expandir su alcance sumando nuevos cómplices.
En su momento, se supo que los creadores de este ransomware ofrecían un sistema de reparto bastante tentador para atraer colaboradores: los que se encargaban de infectar recibían hasta el 80% de las ganancias, mientras que quienes se enfocaban en la parte de la extorsión de datos se llevaban un 60%. Incluso los que solo ofrecían acceso inicial a las redes comprometidas podían ganar un 50%.
Hoy por hoy, la página de extorsión de Anubis en la dark web apenas muestra ocho víctimas, pero todo apunta a que están calentando motores. Es probable que el número de ataques aumente a medida que más gente confíe en su tecnología y se sumen nuevos “afiliados”.
Y hablando de su evolución técnica, recientemente se descubrió que Anubis está incorporando nuevas funciones. Una de las más inquietantes es una herramienta que borra archivos por completo, más allá del cifrado. Es decir, si alguien intenta negociar o simplemente decide ignorar la amenaza, el malware puede activar un modo de destrucción total que hace imposible recuperar los archivos, aunque se pague.
Esta función fue detectada en las últimas versiones del ransomware, y todo indica que se trata de una estrategia para presionar aún más a las víctimas, acelerando los pagos y evitando largas negociaciones.
Lo que realmente distingue a Anubis de otros grupos similares es justamente esto: esa capacidad de borrar todo sin dejar rastro, como un último golpe que arruina cualquier intento de recuperación.
Este comportamiento tan agresivo se activa con un comando especial (“/WIPEMODE”) que además requiere una clave para funcionar, lo que sugiere que lo usan de forma controlada y deliberada cuando quieren dar un mensaje claro: no hay segunda oportunidad.
Modo de limpieza de Anubis (Fuente: Trend Micro)
Cuando se activa, este "limpiador" hace un trabajo silencioso pero devastador: borra por completo el contenido de los archivos, dejándolos vacíos, con un peso de 0 KB. Eso sí, los nombres de los archivos y la estructura de carpetas quedan igual, como si nada hubiera pasado.
Desde fuera, todo parece estar en su lugar. Pero cuando la víctima intenta abrir uno de esos archivos… se da cuenta de que ya no hay nada dentro. Y lo peor: no hay forma de recuperar lo perdido.
Archivos antes del cifrado (arriba) y después (abajo)
Podría interesarte leer: Ransomware en Mayo de 2025: SafePay y DevMan Principales Amenazas
Al analizar cómo funciona Anubis, se descubrió que acepta varios comandos cuando se lanza, como elevar privilegios, excluir ciertas carpetas del ataque o definir exactamente qué archivos va a cifrar.
Curiosamente, evita tocar carpetas críticas del sistema o de programas importantes. ¿La razón? Si el sistema queda completamente inutilizable, la víctima no podría ver el mensaje de rescate ni pagar, lo que no les conviene.
También borra las copias de seguridad del sistema (las llamadas instantáneas de volumen) y cierra cualquier proceso o servicio que pueda estorbarle mientras cifra los archivos.
El cifrado que usa es bastante sofisticado: un esquema llamado ECIES, basado en curvas elípticas. Según expertos, su implementación es muy parecida a la de otros ransomwares conocidos como EvilByte y Prince.
Una vez que los archivos están cifrados, les añade la extensión “.anubis”, deja una nota de rescate en formato HTML en cada carpeta afectada, y hasta intenta cambiar el fondo de escritorio… aunque ese último intento suele fallar.
Nota de rescate de Ransomware Anubis
Se ha visto que los ataques de Anubis suelen arrancar con algo bastante común: un correo de phishing. Llega con un enlace o archivo adjunto malicioso que, si la víctima lo abre, da inicio al desastre.
Conoce más sobre: ¿Por qué siguen funcionando los ataques de phishing en 2025?
El caso de Anubis deja bien claro que el ransomware ya no juega limpio (si es que alguna vez lo hizo). Antes bastaba con preocuparse por el secuestro de archivos y el chantaje, pero ahora la amenaza va un paso más allá: puedes perderlo todo, incluso si decides pagar. Con esa función de borrado total, Anubis no deja margen de maniobra.
En este escenario, no existe una solución mágica que te haga 100% invulnerable. Pero hay algo que sigue siendo tu mejor salvavidas: las copias de seguridad. Tener respaldos actualizados y bien protegidos puede ser la diferencia entre volver a la normalidad rápidamente o ver cómo se esfuman años de trabajo en cuestión de minutos.
Por eso, contar con una solución confiable como TecnetProtect Backup es más que recomendable: es necesario. Esta herramienta utiliza tecnología de Acronis, reconocida a nivel mundial, y no solo te asegura copias de seguridad automáticas, sino que además incluye protección antiransomware inteligente, diseñada para detectar y frenar ataques antes de que causen daño real. Con TecnetProtect Backup, puedes enfrentar amenazas como Anubis con la tranquilidad de saber que tus datos están seguros pase lo que pase.