
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Krajobraz zagrożeń ransomware stale ewoluuje i coraz wyraźniej odchodzi od prostych kampanii opartych wyłącznie na phishingu. Współczesne operacje są wieloetapowe, łączą exploity na urządzeniach brzegowych, przejęte poświadczenia, legalne narzędzia administracyjne oraz techniki wyłączania ochrony na stacjach roboczych i serwerach.
W najnowszych obserwacjach szczególnie istotną rolę odgrywają trzy elementy: podatność Citrix Bleed 2, technika BYOVD oraz wykorzystanie danych logowania pozyskanych w incydentach związanych z łańcuchem dostaw. Takie połączenie znacząco zwiększa skuteczność ataków i skraca drogę od dostępu początkowego do pełnej kompromitacji środowiska.
W skrócie
Zaobserwowane kampanie powiązane z operacją ransomware Anubis pokazują, że atakujący wykorzystują podatność Citrix Bleed 2 oznaczoną jako CVE-2025-5777 do uzyskania dostępu początkowego. Następnie łączą ten wektor z użyciem prawidłowych poświadczeń VPN, ruchem bocznym przez RDP i PsExec oraz wdrażaniem narzędzi z kategorii RMM.
W kolejnych fazach dochodzi do kradzieży danych, osłabiania ochrony endpointów i szyfrowania systemów. Równolegle inne grupy ransomware rozwijają techniki oparte na podatnych sterownikach, backdoorach w Go oraz partnerstwach opartych na przejętych poświadczeniach zdobytych w ramach kompromitacji dostawców i narzędzi używanych przez wiele organizacji.
Kontekst / historia
Anubis funkcjonuje w modelu ransomware-as-a-service i pojawił się pod koniec 2024 roku. Operacja była wiązana z rebrandingiem rodziny Sphinx, a z czasem zaczęła zwiększać skalę działania, koncentrując się na sektorach takich jak ochrona zdrowia, usługi biznesowe, produkcja, technologie oraz finanse.
Istotną cechą tej grupy jest presja wywierana na ofiary nie tylko przez szyfrowanie danych, ale również przez działania o charakterze destrukcyjnym. Jednocześnie widoczny jest szerszy trend w świecie ransomware: coraz większe znaczenie mają urządzenia i usługi dostępowe na styku sieci, legalne tożsamości użytkowników oraz zależności od partnerów i dostawców.
To oznacza zmianę priorytetów po stronie obrońców. Ochrona poczty i świadomość phishingowa pozostają ważne, ale nie wystarczają już jako główna linia obrony. Kluczowe staje się zabezpieczanie zdalnego dostępu, monitorowanie tożsamości i szybkie reagowanie na anomalie w zewnętrznych punktach wejścia.
Analiza techniczna
Najważniejszym elementem technicznym opisywanych incydentów jest CVE-2025-5777, określane jako Citrix Bleed 2. To krytyczna podatność dotycząca Citrix NetScaler ADC i Gateway, która może umożliwiać obejście uwierzytelnienia, gdy appliance działa jako Gateway lub AAA virtual server. W praktyce daje to przeciwnikowi możliwość wejścia do środowiska bez przejścia pełnego, prawidłowego procesu logowania.
Po uzyskaniu dostępu operatorzy ransomware często unikają nadmiernego użycia własnych, łatwo wykrywalnych implantów. Zamiast tego wdrażają legalne narzędzia administracyjne i zdalnego wsparcia, które w zwykłych warunkach są spotykane w legalnej pracy działów IT. Wśród obserwowanych rozwiązań pojawiają się między innymi ScreenConnect, Zoho Assist, MeshAgent, Remotely, UltraVNC oraz Total Software Deployment.
Dalszy łańcuch ataku zwykle obejmuje aktywność przez VPN, RDP i SMB. Do ruchu bocznego oraz zdalnego uruchamiania poleceń wykorzystywany jest PsExec, a w części przypadków dodatkowo wdrażane są tunele zdalnego dostępu, w tym rozwiązania oparte na cloudflared. Tego typu aktywność pozwala utrzymać stabilny kanał komunikacji i ograniczyć widoczność części ruchu dla klasycznych mechanizmów kontroli.
Po zakotwiczeniu się w sieci atakujący przechodzą do zbierania poświadczeń i przygotowania eksfiltracji danych. W tym celu używają narzędzi takich jak S3 Browser, rclone, s5cmd, WinSCP oraz PuTTY. To potwierdza, że nowoczesne operacje ransomware są scenariuszem podwójnego wymuszenia, w którym wyciek danych stanowi równie ważny element presji jak samo szyfrowanie.
Równie ważna jest warstwa antydetekcyjna. W obserwowanych incydentach pojawiały się próby wyłączania ochrony w czasie rzeczywistym w Windows Defenderze, usuwania wybranych produktów bezpieczeństwa, czyszczenia logów oraz zacierania śladów po uruchomieniu komponentów szyfrujących. W części przypadków sam payload szyfrujący był usuwany po użyciu, co znacząco utrudnia analizę powłamaniową.
Na osobne omówienie zasługuje technika BYOVD, czyli bring your own vulnerable driver. Polega ona na wykorzystaniu podatnego sterownika w celu uzyskania uprawnień na poziomie jądra systemu, obejścia zabezpieczeń Windows oraz neutralizacji procesów ochronnych. Dla zespołów bezpieczeństwa to szczególnie trudny scenariusz, ponieważ pozwala obniżyć skuteczność nowoczesnych platform EDR i zwiększa szanse powodzenia końcowej fazy ataku.
Dodatkowy wymiar ryzyka tworzą poświadczenia zdobyte w atakach na łańcuch dostaw. Gdy grupy ransomware współpracują z podmiotami specjalizującymi się w kradzieży danych uwierzytelniających z narzędzi, integracji lub repozytoriów wykorzystywanych przez wiele firm, skala możliwej kompromitacji rośnie bardzo szybko. Taki model uprzemysławia dostęp początkowy i obniża próg wejścia dla afiliantów.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem jest kumulacja kilku krytycznych warstw zagrożenia w jednym łańcuchu ataku. Obejście uwierzytelnienia, użycie legalnych narzędzi administracyjnych, eskalacja uprawnień przez podatny sterownik oraz eksfiltracja danych przed szyfrowaniem tworzą scenariusz o bardzo wysokim prawdopodobieństwie pełnej kompromitacji domeny.
Dla organizacji oznacza to ryzyko długotrwałej niedostępności usług, utraty poufnych danych, naruszeń regulacyjnych i wysokich kosztów odtworzenia środowiska. Szczególnie niebezpieczne jest to, że wiele elementów ataku przypomina zwykłą administrację systemami, co utrudnia wczesne wykrycie incydentu.
- Wysokie ryzyko dotyczy organizacji eksponujących usługi zdalnego dostępu bez silnych dodatkowych kontroli.
- Podatne są środowiska opóźniające łatanie urządzeń brzegowych i systemów dostępowych.
- Zagrożone są firmy, które nie monitorują nietypowych logowań VPN i użycia narzędzi RMM.
- Istotnym problemem pozostaje brak kontroli nad ładowaniem sterowników i ochrona przed BYOVD.
- Dodatkowe ryzyko wynika z reuse poświadczeń i kompromitacji partnerów biznesowych.
Rekomendacje
Priorytetem powinno być ograniczenie powierzchni ataku na styku sieci. Organizacje korzystające z Citrix NetScaler ADC i Gateway powinny niezwłocznie zweryfikować ekspozycję usług, stan poprawek oraz konfigurację instancji pełniących rolę Gateway lub AAA virtual server. Równolegle należy przeanalizować logi pod kątem anomalii uwierzytelnienia i nietypowych sesji administracyjnych.
W obszarze tożsamości kluczowe znaczenie ma silne MFA dla zdalnego dostępu, rotacja poświadczeń uprzywilejowanych oraz wykrywanie logowań z nietypowych lokalizacji, ASN i wzorców czasowych. Warto także prowadzić regularny hunting pod kątem reuse poświadczeń VPN oraz sesji inicjowanych z hostów pośredniczących.
Na poziomie endpointów i systemów EDR należy monitorować uruchamianie PsExec, RDP i narzędzi RMM poza standardowymi oknami administracyjnymi. Konieczne jest również blokowanie lub ścisła kontrola ładowania niezatwierdzonych sterowników, budowanie detekcji dla prób wyłączania Defendera, usuwania agentów bezpieczeństwa oraz czyszczenia logów.
- Monitorować użycie rclone, s5cmd, WinSCP, PuTTY i podobnych narzędzi eksfiltracyjnych.
- Segmentować sieć i ograniczać zbędny ruch lateralny przez SMB oraz RDP.
- Wdrażać zasady just-in-time i just-enough administration.
- Regularnie testować odtwarzanie kopii zapasowych w scenariuszu eksfiltracji i szyfrowania.
- Przeglądać integracje z dostawcami, sekrety techniczne i zależności programistyczne.
Nie mniej ważne jest uwzględnienie ryzyka supply chain w planach reagowania. Monitoring poświadczeń, przegląd zależności zewnętrznych i szybka reakcja na incydenty u partnerów stają się dziś równie istotne jak klasyczna ochrona stacji roboczych i serwerów.
Podsumowanie
Nowa fala operacji ransomware pokazuje, że napastnicy coraz skuteczniej łączą exploity na urządzeniach brzegowych, przejęte poświadczenia, legalne narzędzia administracyjne oraz techniki jądrowe takie jak BYOVD. Citrix Bleed 2 jest istotnym wektorem wejścia, ale równie groźne pozostają scenariusze oparte na ważnych danych logowania i kompromitacji łańcucha dostaw.
Dla obrońców oznacza to konieczność jednoczesnego wzmacniania bezpieczeństwa tożsamości, systemów zdalnego dostępu, endpointów i relacji z dostawcami. Skuteczna obrona wymaga dziś skoordynowanej widoczności oraz kontroli na całym łańcuchu ataku, a nie pojedynczego punktowego zabezpieczenia.
Źródła
- The Hacker News — Ransomware Groups Turn to Citrix Bleed 2, BYOVD, and Supply Chain Credentials — https://thehackernews.com/2026/07/ransomware-groups-turn-to-citrix-bleed.html
- Arctic Wolf — Threat report referenced in coverage of Anubis intrusions — https://arcticwolf.com/
- Kaspersky Securelist — Analysis of The Gentlemen ransomware activity — https://securelist.com/
- Expel — Research on BYOVD activity and vulnerable driver abuse — https://expel.com/
- Sophos — Counter Threat Unit research on VECT and TeamPCP partnership — https://www.sophos.com/