Analyse der Anubis-Ransomware deckt das Vorgehen der Angreifer auf 

Arctic Wolf Labs veröffentlicht neue Forschungsergebnisse, die über die bisherige Berichterstattung zur Anubis-Ransomware hinausgehen und auf Erkenntnissen aus fast sechs Monaten Incident-Response-Untersuchungen basieren. Nun haben Verteidiger zusätzliche Möglichkeiten, Angriffe frühzeitig zu erkennen und zu stoppen – noch bevor die Ransomware zum Einsatz kommt.

Im Mittelpunkt der Analyse steht nicht die Ransomware selbst, sondern das Vorgehen der Angreifer – wie sie sich initialen Zugriff verschaffen, mithilfe legitimer Administrationswerkzeuge unauffällig in kompromittierten Umgebungen agieren und sich schrittweise bis zur Verschlüsselung vorarbeiten.

Zentrale Erkenntnis: Anubis-Affiliates benötigen keine neuartige Malware, um erheblichen Schaden anzurichten. Stattdessen folgen sie wiederholt einer klar erkennbaren Angriffskette: Sie verschaffen sich zunächst über die Schwachstelle „CitrixBleed 2“ (CVE-2025-5777) oder mithilfe gültiger VPN-Zugangsdaten Zugriff auf Unternehmensnetzwerke und missbrauchen anschließend legitime Remote-Management- und Fernzugriffswerkzeuge. Entscheidend ist dabei weniger ein einzelnes Tool oder ein bestimmter Kompromittierungsindikator als vielmehr die Abfolge der Aktivitäten.

Weitere Erkenntnisse: 

  • Seit Anfang 2026 hat Arctic Wolf Anubis-Intrusionen untersucht, bei denen Angreifer sowohl gültige VPN-Zugangsdaten als auch die Schwachstelle „CitrixBleed 2“ (CVE-2025-5777) für den Erstzugriff nutzten. Die Ergebnisse liefern neue Erkenntnisse über die Methoden, mit denen sich die Gruppe Zugang zu Unternehmensnetzwerken verschafft.
  • In mehreren untersuchten Angriffen missbrauchten die Affiliates konsequent legitime Remote-Management- und Administrationswerkzeuge – darunter Screenconnect, Zoho-Assist, Meshagent, Remotely, UltraVNC und Total-Software-Deployment –, um sich in reguläre IT-Abläufe einzufügen und dauerhaften Zugriff auf kompromittierte Systeme zu behalten.
  • Die Angreifer hatten es wiederholt auf besonders kritische Systeme wie Microsoft-Remote-Desktop Services-Server, Domänencontroller, Hypervisoren, Backup-nahe Systeme und NAS-Geräte abgesehen. In einigen Fällen versuchten sie zudem, mithilfe von cloudflared, authentifizierten Proxys und SSH-basiertem SOCKS-Tunneling alternative Kommunikationspfade aufzubauen, um ihre Aktivitäten besser zu verschleiern und die Erkennung sowie Wiederherstellung zu erschweren.

Info: Weitere Details zum Thema finden sich hier im Arctic Wolf Blogpost:
https://arcticwolf.com/resources/blog/citrixbleed-2-to-cloudflared-the-tools-and-techniques-behind-anubis-ransomware-attacks/

#ArcticWolf