[아이티데일리] 암호화에 그치지 않고 데이터를 완전히 지워버리는 새로운 랜섬웨어 ‘아누비스(Anubis)’가 고개를 들고 있다.

트렌드마이크로(Trend Micro)는 16일 서비스형 랜섬웨어(RaaS) 조직 아누비스를 주제로 인텔리전스 보고서를 발표했다.

아누비스는 지난해 12월부터 움직임이 나타난 신생 공격 집단이다. ‘스핑크스(Sphinx)’라는 프로토타입에서 시작해 2025년 들어 사이버 범죄 포럼에서 활동하는 RaaS 조직으로 발전했다.

트렌드마이크로에 따르면, 아누비스는 호주, 캐나다, 미국 등 여러 지역에서 의료, 엔지니어링, 건설 등 다양한 산업군에서 피해를 발생시켰다.

아누비스의 위협적인 특징은 파일 삭제다. 대개 랜섬웨어 조직은 기업 내 정보를 암호화한 후 이를 볼모로 금전을 요구한다. 이에 더해 아누비스는 파일을 영구히 삭제하는 기능으로 피해자가 몸값을 치르더라도 복구가 불가하게 만든다.

우선 아누비스는 악성 첨부파일이나 링크가 포함된 피싱 이메일을 통해 내부 시스템으로 들어간다. 신뢰할 수 있는 출처에서 보낸 듯 위장해 수신자가 메일을 열도록 유도한다.

침투한 아누비스는 관리자 권한을 탈취하고 파일과 디렉터리 전반을 탐색한다. 그다음 시스템 복구에 쓰이는 드라이브 복사본을 삭제하며, 실행 중인 프로세스 및 서비스를 중지시킨다.

공격자들은 암호화된 파일의 아이콘을 아누비스 로고로 교체한 후 요구를 들어주지 않으면 탈취 데이터를 공개하겠다고 협박한다. 특히 아누비스는 파일 내용을 완전히 삭제하는 ‘와이퍼(WIPER)’ 기능을 갖추고 있다. 이를 사용하면 파일은 화면에 나오지만 크기가 0킬로바이트(KB)로 바뀌며 내용이 삭제돼 복원이 불가하다.

아누비스는 암호화와 삭제를 병행하는 이중 위협 전략과 제휴 프로그램으로 수익을 극대화하며 사이버 범죄 생태계에서 영향력을 확대하고 있다. 또 영구적인 데이터 파괴로 피해 위험을 증대시키고 있다.

트렌드마이크로 측은 “아누비스가 피싱 이메일로 유포되는 만큼 신뢰할 수 없는 파일이나 링크를 열지 말아야 한다. 무단 접근 위험을 최소화하기 위해 정기적으로 권한을 검토하고 조정하는 작업도 필요하다”라고 조언했다.

이어 “중요 데이터는 암호화되거나 지워지더라도 파일을 되살릴 수 있도록 변경 불가능한 백업을 비롯한 강력한 복구 계획을 마련해야 한다”고 강조했다.