Ransomware łączy Citrix Bleed 2, BYOVD i skradzione poświadczenia z łańcucha dostaw - Security Bez Tabu

Ransomware łączy Citrix Bleed 2, BYOVD i skradzione poświadczenia z łańcucha dostaw

Cybersecurity news

Wprowadzenie do problemu / definicja

Ekosystem ransomware rozwija się dziś w kierunku wieloetapowych operacji, w których atakujący łączą podatności w systemach brzegowych, legalne narzędzia administracyjne, techniki omijania ochrony endpointów oraz poświadczenia zdobyte we wcześniejszych incydentach. Najnowsze obserwacje pokazują, że grupy ransomware coraz częściej budują spójny łańcuch ataku oparty na exploitacji Citrix Bleed 2, technice BYOVD oraz danych uwierzytelniających pozyskanych z naruszeń łańcucha dostaw.

W skrócie

  • Afilianci Anubis ransomware wykorzystują podatność Citrix Bleed 2 (CVE-2025-5777) do uzyskania dostępu początkowego.
  • Atakujący korzystają także z prawidłowych loginów VPN, narzędzi RMM, RDP, PsExec i rozwiązań do eksfiltracji danych.
  • Grupy takie jak The Gentlemen rozwijają techniki BYOVD, aby wyłączać ochronę EDR i AV na poziomie jądra systemu.
  • Współpraca z aktorami kradnącymi poświadczenia z incydentów supply chain zwiększa skalę i skuteczność kampanii.

Kontekst / historia

Anubis funkcjonuje w modelu ransomware-as-a-service i pojawił się pod koniec 2024 roku jako rebranding Sphinx ransomware. W 2025 roku grupa zaczęła wyraźniej zaznaczać swoją obecność na forach cyberprzestępczych, a aktywność obserwowana w 2026 roku wskazuje na rosnącą dojrzałość operacyjną. Wśród ofiar znajdują się organizacje z sektorów ochrony zdrowia, usług biznesowych, produkcji, technologii i finansów, przy czym znacząca część ataków dotyczy podmiotów działających w Stanach Zjednoczonych.

Trend ten wpisuje się w szerszą zmianę krajobrazu zagrożeń. Współczesne grupy ransomware nie opierają się już na jednym wektorze wejścia, lecz łączą exploity, skradzione dane logowania, kompromitacje narzędzi deweloperskich i usługi zdalnego zarządzania. W efekcie klasyczny podział na etap włamania i etap szyfrowania coraz bardziej się zaciera.

Analiza techniczna

Jednym z kluczowych elementów opisywanych kampanii jest Citrix Bleed 2, czyli CVE-2025-5777. To krytyczna podatność dotycząca urządzeń Citrix NetScaler ADC i Gateway, mogąca prowadzić do obejścia mechanizmów uwierzytelniania w scenariuszach, w których urządzenie działa jako Gateway lub serwer AAA. Dla operatorów ransomware jest to bardzo atrakcyjny wektor dostępu początkowego, ponieważ umożliwia wejście do środowiska bez pełnej, prawidłowej autoryzacji.

Po uzyskaniu dostępu atakujący często unikają używania typowego malware na rzecz legalnych narzędzi administracyjnych i zdalnego wsparcia. W analizowanych incydentach pojawiają się między innymi ScreenConnect, Zoho Assist, MeshAgent, Remotely, UltraVNC oraz Total Software Deployment. Takie podejście utrudnia detekcję, ponieważ aktywność intruza może przypominać zwykłe działania zespołów IT lub zewnętrznych dostawców usług.

W kolejnych fazach kampanii obserwowane są logowania przez VPN, a następnie ruch boczny z użyciem RDP, SMB i PsExec. Operatorzy rozszerzają dostęp na kolejne hosty, zbierają poświadczenia, eskalują uprawnienia i przygotowują środowisko do eksfiltracji oraz uruchomienia ransomware.

Do transferu danych wykorzystywane są narzędzia powszechnie spotykane w administracji i środowiskach chmurowych, takie jak rclone, WinSCP, PuTTY, s5cmd czy S3 Browser. W niektórych przypadkach konfigurują również Cloudflare Tunnel, aby ukryć kanał komunikacji i utrzymać stabilne połączenie z siecią ofiary. Przed szyfrowaniem atakujący próbują dodatkowo osłabić mechanizmy obronne poprzez wyłączanie ochrony czasu rzeczywistego, usuwanie komponentów zabezpieczeń i czyszczenie logów.

Szczególnie groźnym trendem pozostaje rozwój techniki BYOVD, czyli Bring Your Own Vulnerable Driver. Polega ona na wprowadzeniu do systemu legalnie podpisanego, ale podatnego sterownika, który pozwala uzyskać uprawnienia na poziomie jądra. Dzięki temu napastnicy mogą omijać mechanizmy ochronne Windows oraz kończyć działanie procesów chronionych przez rozwiązania EDR i AV. W analizowanych przypadkach wskazywano między innymi na wykorzystanie sterownika ktapi.sys.

Osobnym, lecz powiązanym zjawiskiem, jest wykorzystywanie poświadczeń pochodzących z incydentów supply chain. W takim modelu jedna grupa kompromituje popularne narzędzia lub pakiety wykorzystywane w środowiskach deweloperskich, pozyskuje dane uwierzytelniające, a następnie przekazuje je partnerowi odpowiedzialnemu za wdrożenie ransomware. To wyraźnie obniża próg wejścia i ułatwia skalowanie ataków.

Konsekwencje / ryzyko

Dla organizacji największe zagrożenie nie ogranicza się już do samego szyfrowania plików. Atakujący często uzyskują trwały dostęp, eskalują uprawnienia, wykradają dane i osłabiają zabezpieczenia jeszcze przed uruchomieniem właściwego ładunku ransomware. Oznacza to realne ryzyko podwójnego lub potrójnego wymuszenia, obejmującego utratę dostępności, wyciek danych oraz dalsze nadużywanie skradzionych poświadczeń.

Dodatkowym problemem jest nadużywanie legalnych narzędzi RMM i administracyjnych. Z perspektywy SOC odróżnienie zwykłej aktywności operacyjnej od działań intruza staje się znacznie trudniejsze, zwłaszcza jeśli organizacja nie prowadzi ścisłego monitoringu użycia takich narzędzi.

BYOVD jeszcze bardziej podnosi poziom ryzyka, ponieważ umożliwia obchodzenie lub wyłączanie nowoczesnych rozwiązań bezpieczeństwa. Z kolei kompromitacje supply chain sprawiają, że jedno źródło naruszenia może przełożyć się na ataki wymierzone w wiele organizacji jednocześnie.

Rekomendacje

Organizacje korzystające z Citrix NetScaler ADC i Gateway powinny w pierwszej kolejności zweryfikować poziom aktualizacji, konfigurację ról Gateway i AAA oraz sprawdzić środowisko pod kątem wskaźników kompromitacji związanych z CVE-2025-5777. Niezbędna jest także analiza logów uwierzytelniania VPN, szczególnie pod kątem nietypowych adresów IP, anomalii geograficznych i podejrzanych sekwencji logowań.

Warto wdrożyć ścisłe kontrole dla narzędzi RMM i zdalnej administracji. Dobrą praktyką jest prowadzenie listy dozwolonego oprogramowania, blokowanie nieautoryzowanych agentów, alertowanie na nowe instalacje oraz wiązanie aktywności administracyjnej z zatwierdzonymi oknami serwisowymi. Każde użycie PsExec, nietypowych usług SMB czy zewnętrznych tuneli powinno być traktowane jako zdarzenie wysokiego priorytetu.

W obszarze bezpieczeństwa endpointów konieczne jest ograniczanie ładowania sterowników, monitorowanie instalacji nowych driverów oraz blokowanie znanych podatnych sterowników z użyciem mechanizmów kontroli aplikacji i list blokowania. Ochrona przed BYOVD powinna obejmować także monitoring prób wyłączania usług bezpieczeństwa i zmian w konfiguracji Defendera lub innych rozwiązań ochronnych.

Ze względu na ryzyko przejęcia poświadczeń organizacje powinny wymuszać MFA dla dostępu zdalnego, regularnie rotować hasła uprzywilejowane, przeglądać konta serwisowe i segmentować dostęp do zasobów administracyjnych. Po incydentach związanych z wyciekiem danych lub kompromitacją łańcucha dostaw należy zakładać, że skradzione poświadczenia mogą pozostać aktywnym zagrożeniem przez długi czas.

Nie można również pomijać przygotowania do wykrywania eksfiltracji. Warto monitorować uruchamianie narzędzi takich jak rclone, WinSCP, s5cmd i S3 Browser, a także nietypowe połączenia wychodzące do usług tunelujących oraz zewnętrznych magazynów danych. Uzupełnieniem obrony powinny być segmentacja krytycznych zasobów, ograniczenie komunikacji lateralnej i regularne testy odtwarzania z kopii zapasowych odpornych na modyfikację.

Podsumowanie

Dzisiejszy krajobraz ransomware pokazuje wyraźne przejście od prostych kampanii do złożonych operacji łączących wiele technik i partnerstw przestępczych. Citrix Bleed 2 zapewnia szybki dostęp początkowy, legalne narzędzia administracyjne pomagają ukryć działania, BYOVD umożliwia neutralizację ochrony endpointów, a poświadczenia z incydentów supply chain zwiększają skalę ataków. Dla zespołów bezpieczeństwa oznacza to konieczność jednoczesnego monitorowania urządzeń brzegowych, zdalnego dostępu, narzędzi RMM, sterowników systemowych oraz oznak eksfiltracji danych.

Źródła

  • The Hacker News – Ransomware Groups Turn to Citrix Bleed 2, BYOVD, and Supply Chain Credentials – https://thehackernews.com/2026/07/ransomware-groups-turn-to-citrix-bleed.html
  • Arctic Wolf – raport o aktywności afiliantów Anubis – https://arcticwolf.com/
  • Kaspersky Securelist – analiza grupy The Gentlemen – https://securelist.com/
  • Expel – analiza techniki BYOVD i sterownika ktapi.sys – https://expel.com/
  • FBI IC3 – alert dotyczący aktywności TeamPCP – https://www.ic3.gov/