- Atacatorii din spatele ransomware-ului Anubis folosesc vulnerabilitatea Citrix Bleed 2 (CVE-2025-5777) pentru acces inițial, apoi instrumente RMM și mișcare laterală.
Grupările de ransomware continuă să inoveze în metodele de atac, iar cea mai recentă amenințare implică exploatarea vulnerabilității Citrix Bleed 2 (CVE-2025-5777). Operatorii ransomware-ului Anubis au fost observați folosind acest vector pentru a pătrunde în rețelele țintă, folosind apoi instrumente legitime de monitorizare și gestionare la distanță (RMM) pentru a se deplasa lateral și a fura date.
Ce este Citrix Bleed 2 și cum este exploatat
Citrix Bleed 2 este o vulnerabilitate critică care afectează produsele Citrix, permițând executarea de cod de la distanță. CVE-2025-5777 a fost descoperită recent, iar atacatorii au integrat-o rapid în arsenalul lor. În cazul operațiunii Anubis, exploatarea servește drept punct de intrare inițial, oferind acces la rețeaua internă fără a necesita autentificare prealabilă.
Tehnicile folosite de grupul Anubis
Deși tacticile diferă între afiliați, specialiștii în securitate au identificat modele comune: utilizarea instrumentelor RMM legitime pentru a masca activitatea malițioasă, furtul de acreditări și proceduri hands-on-keyboard pentru mișcare laterală. Odată ajunși în rețea, atacatorii instalează ransomware-ul și cer o răscumpărare pentru decriptarea datelor.
Anubis nu este singurul grup care folosește această metodă – tendința de a combina vulnerabilități zero-day cu instrumente administrative standard devine tot mai frecventă, complicând eforturile de detectare.
Ce înseamnă pentru tine
Pentru echipele IT și administratorii de rețea, această evoluție subliniază importanța actualizării rapide a patch-urilor pentru Citrix și a monitorizării atente a utilizării instrumentelor RMM. Iată câteva măsuri practice:
- Aplicați imediat patch-ul pentru CVE-2025-5777 – verificați dacă sistemele Citrix sunt actualizate cu cea mai recentă versiune securizată.
- Restricționați instrumentele RMM – permiteți doar soluții autorizate și monitorizați activitatea acestora pentru semne de abuz.
- Implementați autentificare multifactor – chiar dacă accesul inițial se face printr-o vulnerabilitate, MFA poate limita mișcarea laterală.
Rămâneți vigilenți: atacurile bazate pe Citrix Bleed 2 sunt în creștere, iar securitatea proactivă este cea mai bună apărare.