Os agentes de ameaça associados à operação de ransomware Anubis foram vistos explorando a vulnerabilidade Citrix Bleed 2 (
CVE-2025-5777
) para obter acesso inicial.
“Embora as táticas variem entre afiliados, surgiram padrões comuns nas técnicas operacionais, com o uso de ferramentas legítimas de gerenciamento e monitoramento remoto, acesso a credenciais e procedimentos de hands-on-keyboard usados para movimentação lateral”, afirmou a Arctic Wolf em relatório publicado nesta semana.
“Os afiliados do Anubis abusaram repetidamente de ferramentas legítimas de acesso e administração remotos, incluindo ScreenConnect, Zoho Assist, MeshAgent, Remotely, UltraVNC e Total Software Deployment, para se misturar à atividade normal de TI enquanto mantinham controle sobre os sistemas das vítimas.”
O Anubis é um grupo de ransomware como serviço, conhecido como RaaS, que surgiu no fim de 2024 como uma reformulação do ransomware Sphinx.
A operação foi anunciada oficialmente no fórum clandestino Ransomware and Advanced Malware Protection, ou RAMP, em fevereiro de 2025.
Segundo dados do Ransomware.Live, a quadrilha já reivindicou 91 vítimas em seu site de vazamento de dados, sendo 11 apenas em junho de 2026.
Entre os setores mais atingidos estão saúde, serviços empresariais, manufatura, tecnologia e serviços financeiros.
Mais de 50% das vítimas estão nos Estados Unidos, seguidos por Reino Unido, Austrália, França e Canadá.
Em relatório publicado em julho de 2025, a Rubrik Zero Labs afirmou que o Anubis oferece divisão de lucros atraente, com 80% dos valores do resgate para os afiliados, além de combinar isso com um recurso irreversível de apagamento de dados que aumenta a pressão sobre as vítimas para pagar.
“Quando o módulo /WIPEMODE do Anubis é ativado, os arquivos permanecem nos diretórios, mas são reduzidos para 0 KB, independentemente do pagamento do resgate”, observou a Rubrik na ocasião.
“Saber que os agentes de ameaça podem reverter os ambientes das vítimas para esse estado de terra arrasada com um único comando aumenta significativamente a pressão para que paguem antes que o wiper seja totalmente ativado.”
As intrusões de ransomware observadas neste ano envolvem tanto o uso de credenciais válidas de VPN quanto a exploração de
CVE-2025-5777
, com pontuação CVSS de 9,3, uma falha crítica que afeta Citrix NetScaler ADC e Gateway e que pode ser abusada por um atacante para burlar a autenticação quando o equipamento é configurado como Gateway ou como servidor virtual AAA.
A origem exata das credenciais de VPN usadas nessas intrusões é desconhecida.
No entanto, é possível que tenham sido obtidas após comprometimentos anteriores, por meio de initial access brokers, credential stuffing ou atividades de infostealer.
“Além da exploração do CitrixBleed 2, foram observados logins válidos de VPN Cisco AnyConnect vindos de vários ASNs de hospedagem, incluindo AS20473, The Constant Company, e AS55286, ServerMania”, explicou a Arctic Wolf.
“A autenticação maliciosa via VPN foi seguida por atividades de login envolvendo RDP e SMB, levando a acesso a credenciais, criação de serviço via PsExec, implantação de RMM e, por fim, ao uso de ferramentas de transferência para a nuvem para exfiltração.”
A movimentação lateral é facilitada por RDP e PsExec, o que leva à implantação de diversas ferramentas legítimas de RMM para acesso persistente, permitindo que os atacantes transfiram arquivos e executem código remotamente sem chamar atenção.
Em algumas intrusões, também é configurado um Cloudflare Tunnel, conhecido como cloudflared, para estabelecer túneis com os ambientes das vítimas.
A fase seguinte dos ataques envolve a coleta de credenciais para facilitar um acesso mais profundo ao ambiente comprometido.
Depois disso, ferramentas como S3 Browser, rclone, s5cmd, WinSCP e PuTTY são instaladas para transferência ou exfiltração de dados antes da implantação do ransomware.
Em paralelo, são adotadas medidas para enfraquecer as defesas dos sistemas e dificultar análises pós-incidente.
“Essas técnicas incluíram a desativação da proteção em tempo real do Windows Defender, atividade relacionada à desinstalação do Sophos, artefatos associados ao PCHunter e limpeza ou manipulação de log em vários sistemas”, explicou a empresa de cibersegurança.
“Em pelo menos uma intrusão, um encryptor do Anubis foi apagado após a execução, reduzindo a disponibilidade de artefatos do payload em disco para análises posteriores.”
### O backdoor Go do The Gentlemen e a exploração de zero-day
A divulgação ocorre no momento em que a Kaspersky detalhou a exploração, pelo grupo The Gentlemen, de vulnerabilidades conhecidas e de credenciais de login roubadas ou fracas para invadir alvos, além do uso de um backdoor baseado em Go para permitir execução remota de comandos após reconhecimento, movimentação lateral por Group Policy ou PsExec e evasão de defesa por meio da técnica conhecida como bring your own vulnerable driver, ou BYOVD.
O implant foi projetado para coletar informações do sistema, exfiltrá-las para um servidor externo, em 81.177.215[.]15:9443, por meio de uma conexão TCP bidirecional, e aguardar respostas do operador, que então são executadas no host usando cmd.exe se o byte de resposta for “c”.
Se o byte for “s”, é estabelecida uma conexão proxy SOCKS.
“Essa funcionalidade provavelmente permite que o red team do The Gentlemen se mova dentro da rede-alvo e amplie sua cobertura de varredura”, disse a Kaspersky.
“Dadas as capacidades do backdoor, como comunicação bidirecional, execução de comandos, configuração de um proxy SOCKS e coleta de informações, fica claro que ele também pode ser usado para expandir a cadeia de ataque conforme necessário.”
Segundo a Expel, o grupo RaaS também armou uma vulnerabilidade zero-day em um driver pouco conhecido de um fornecedor terceirizado como parte de seu arsenal BYOVD para obter acesso em nível de kernel, contornar proteções de segurança do Windows e encerrar processos protegidos de segurança da Microsoft, ESET, Palo Alto Networks e SentinelOne.
O driver em questão é o ktapi.sys, parte de uma API desenvolvida pela Kontron.
“Ainda não está claro como os agentes de ameaça obtiveram o arquivo ou descobriram sua vulnerabilidade”, disse Marcus Hutchins.
“O BYOVD continua sendo uma ameaça enorme para empresas, permitindo que atacantes desativem sistemas de segurança de endpoint de última geração em segundos.
Mesmo usar a versão mais recente do Windows, com todas as mitigações de exploração ativadas, não oferece proteção completa.”
### Parceria de ransomware entre VECT e TeamPCP
As descobertas também vêm na esteira de uma investigação da Sophos Counter Threat Unit sobre a parceria entre VECT e TeamPCP, anunciada em março de 2026, para combinar roubo de credenciais em ataques de supply chain com a implantação de ransomware.
“A parceria formal entre TeamPCP e VECT permite que a VECT distribua ransomware em todas as organizações comprometidas nos ataques de supply chain envolvendo Trivy e LiteLLM”, afirmou a Sophos em relatório compartilhado.
“Antes da parceria com a VECT, o TeamPCP operava outra campanha de ransomware sob a marca CipherForce.
A CipherForce listou seis vítimas em seu site de vazamento em fevereiro de 2026 e foi rebatizada como um site de vazamento do TeamPCP em maio.”
Análises recentes da Check Point e da JUMPSEC concluíram que a VECT tem falhas de implementação que fazem com que qualquer arquivo maior que 128 KB seja destruído permanentemente, em vez de ser criptografado, o que levou o TeamPCP a divulgar um comunicado dizendo que nunca usou o encryptor da VECT em ataques.
“A parceria entre VECT e TeamPCP representa uma mudança significativa no cenário de ameaças de ransomware, mesmo considerando as deficiências técnicas que comprometem sua eficácia operacional”, disse a Sophos.
“A convergência entre roubo em larga escala de credenciais em supply chain, uma operação RaaS em amadurecimento e a mobilização massiva em fóruns clandestinos constitui um modelo sem precedentes de implantação industrializada de ransomware, que reduz de forma importante a barreira de entrada para o cibercrime.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...