Актове на заплахи, свързани с операцията за рансъмуер Anubis, бяха забелязани да експлоатират уязвимостта Citrix Bleed 2 (CVE-2025-5777) за получаване на първоначален достъп.

„Въпреки че тактиките се различават между филиалите, се очертават общи модели в техните похвати чрез използване на легитимни инструменти за отдалечено управление и наблюдение (RMM), достъп до идентификационни данни и процедури с директна намеса за странично движение“, посочва Arctic Wolf в доклад, публикуван тази седмица.

„Филиалите на Anubis многократно са злоупотребявали с легитимни инструменти за отдалечен достъп и администрация, включително ScreenConnect, Zoho Assist, MeshAgent, Remotely, UltraVNC и Total Software Deployment, за да се слеят с нормалната ИТ дейност, докато поддържат контрол над системите на жертвите.“

Anubis е група за рансъмуер като услуга (RaaS), която се появи за първи път в края на 2024 г. като ребрандиране на рансъмуера Sphinx. Операцията по заразяване беше официално обявена в подпочвения форум Ransomware and Advanced Malware Protection (RAMP) през февруари 2025 г. Според данни от Ransomware.Live, киберпрестъпната група е обявила 91 жертви на своя сайт за изтичане на данни, като само през юни 2026 г. се съобщава за 11 жертви.

Някои от основните насочени сектори включват здравеопазване, бизнес услуги, производство, технологии и финансови услуги. Повече от 50% от жертвите се намират в САЩ, следвани от Обединеното кралство, Австралия, Франция и Канада.

В доклад, публикуван през юли 2025 г., Rubrik Zero Labs споменава, че Anubis рекламира привлекателно разделяне на печалбата, предлагайки на партньорите си 80% от платените суми за откуп, и го съчетава с функция за необратимо изтриване на данни, което увеличава натиска върху жертвите да плащат.

„Когато се активира модулът /WIPEMODE на Anubis, файловете остават в директориите, но се свиват до размер 0 KB, независимо от плащането на откупа“, отбеляза Rubrik по това време. „Знанието, че нападателите могат да върнат средите на жертвите до това състояние на опустошена земя с една единствена команда, значително увеличава натиска върху жертвите да плащат, преди чистачът (wiper) да бъде напълно активиран.“

Вторженията с рансъмуер, наблюдавани тази година, включват както използване на валидни VPN идентификационни данни, така и експлоатация на CVE-2025-5777 (CVSS резултат: 9.3) – критичен дефект, засягащ Citrix NetScaler ADC и Gateway, който може да бъде използван от нападател за заобикаляне на удостоверяването, когато устройството е конфигурирано като Gateway или AAA виртуален сървър.

Точният източник на VPN идентификационните данни, използвани в тези прониквания, е неизвестен. Въпреки това е възможно те да са били придобити след предишно компрометиране или чрез брокери на първоначален достъп (IAB), запълване на идентификационни данни (credential stuffing) или дейност на инфостийлъри.

„В допълнение към експлоатацията на Citrix Bleed 2, бяха наблюдавани валидни влизания в Cisco AnyConnect VPN от няколко хостинг ASN мрежи, включително AS20473 (The Constant Company) и AS55286 (ServerMania)“, обяснява Arctic Wolf. „Зловредното VPN удостоверяване след това беше последвано от активност по влизане чрез RDP и SMB, което доведе до достъп до идентификационни данни, създаване на услугата PsExec, внедряване на RMM и в крайна сметка задействане на инструменти за трансфер в облак с цел извличане на данни.“

Страничното движение се улеснява чрез RDP и PsExec, което след това води до внедряване на различни легитимни RMM инструменти за постоянен достъп, даващи на нападателите възможност да прехвърлят файлове и дистанционно да изпълняват код, докато остават незабелязани. Избрани прониквания също така конфигурират Cloudflare Tunnel (известен като cloudflared), за да установят тунели към средите на жертвите.

Следващата фаза на атаките включва събиране на идентификационни данни за улесняване на по-дълбок достъп до компрометираната среда, след което се инсталират инструменти като S3 Browser, rclone, s5cmd, WinSCP и PuTTY за трансфер или извличане на данни преди внедряването на рансъмуера. Успоредно с това се предприемат стъпки за увреждане на защитата на системата и усложняване на анализа след инцидента.

„Тези техники включват деактивиране на защитата в реално време на Windows Defender, дейности по деинсталиране на Sophos, артефакти, свързани с PCHunter, и изчистване или манипулиране на регистрационни файлове в множество системи“, обяснява компанията за киберсигурност. „При поне едно проникване енкрипторът на Anubis беше изтрит след изпълнението, което намали наличността на полезен товар върху диска за по-нататъшен анализ.“

Подробности за бекдора The Gentlemen's Go и експлоатацията на уязвимости от тип 0-Day

Разкритието идва в момент, когато Kaspersky детайлизира експлоатацията от групата The Gentlemen RaaS на известни уязвимости и откраднати или слаби идентификационни данни за влизане с цел проникване в целеви обекти, както и използването на базиран на Go бекдор за отдалечено изпълнение на команди след разузнаване, странично движение чрез групови политики (Group Policy) или PsExec, и избягване на защитата с помощта на техниката за носене на собствен уязвим драйвер (BYOVD).

Имплантът е проектиран да събира системна информация, да я извлича към външен сървър („81.177.215[.]15:9443“) чрез двупосочна TCP връзка и да изчаква отговори на оператора, които след това се изпълняват на хоста с помощта на „cmd.exe“, ако байтът за отговор е „c“. Ако байтът е „s“, се установява SOCKS прокси връзка.

„Тази функционалност вероятно позволява на екипа на The Gentlemen да се придвижва в целевата мрежа и да разширява обхвата на сканирането си.“