Grupos de Ransomware Exploram Citrix Bleed 2 e Táticas BYOVD para Acesso Empresarial
Operadores de ransomware Anubis estão aproveitando a vulnerabilidade Citrix Bleed 2 (CVE-2025-5777) combinada com ferramentas RMM legítimas e credenciais da cadeia de suprimentos para invadir redes empresariais. Equipes de segurança devem priorizar correção de patches e monitoramento desses vetores de ataque convergentes.
TL;DR
- Afiliados de ransomware Anubis exploram ativamente Citrix Bleed 2 (CVE-2025-5777) para acesso inicial à rede
- Atores de ameaça abusam de ferramentas legítimas de Gerenciamento e Monitoramento Remoto (RMM) para evadir detecção durante movimento lateral
- Roubo de credenciais da cadeia de suprimentos e técnicas Bring-Your-Own-Vulnerable-Driver (BYOVD) permitem escalação de privilégios
- Operações hands-on-keyboard indicam fluxos de trabalho pós-exploração sofisticados e manuais direcionados a ativos de alto valor
Atores de ameaça afiliados à operação de ransomware Anubis foram observados explorando sistematicamente a vulnerabilidade Citrix Bleed 2 para estabelecer pontos de apoio iniciais em ambientes empresariais. Esta campanha demonstra uma mudança coordenada em direção à combinação de vulnerabilidades conhecidas com ferramentas legítimas de administração de sistemas para contornar controles de segurança tradicionais.
A cadeia de ataque reflete um modelo operacional maduro onde múltiplas técnicas convergem: exploração de vulnerabilidades para entrada, coleta de credenciais de parceiros da cadeia de suprimentos e abuso de plataformas RMM confiáveis para persistência e movimento lateral. Esta abordagem em camadas aumenta significativamente a dificuldade de detecção e resposta para equipes de segurança.
Cadeia de Ataque: De Citrix Bleed 2 ao Movimento Lateral
- CVE-2025-5777 (Citrix Bleed 2) serve como o vetor de acesso inicial primário para afiliados Anubis
- Ferramentas RMM legítimas (TeamViewer, AnyDesk, ConnectWise) são reutilizadas pós-comprometimento para manter persistência
- Operações hands-on-keyboard permitem reconhecimento manual e movimento lateral direcionado dentro de redes
- Credenciais da cadeia de suprimentos obtidas através de brechas anteriores ou phishing são aproveitadas para acessar sistemas de parceiros
Táticas de Escalação de Privilégios e Evasão
- Exploits Bring-Your-Own-Vulnerable-Driver (BYOVD) permitem escalação de privilégios em nível de kernel enquanto contornam soluções EDR
- O uso de ferramentas administrativas legítimas reduz anomalias comportamentais e diminui taxas de detecção
- Técnicas de acesso a credenciais visam tanto funcionários diretos quanto fornecedores terceirizados com acesso à rede
- Variação de afiliados em tradecraft sugere um modelo operacional flexível adaptado a ambientes específicos do alvo
Recomendações Defensivas para Equipes de Segurança
- Priorize a correção de patches em sistemas Citrix; implemente segmentação de rede para limitar exposição do Citrix
- Monitore e restrinja o uso de ferramentas RMM; implante whitelisting de aplicações e análise comportamental para processos RMM
- Implemente programas de higiene de credenciais e revisões de acesso da cadeia de suprimentos para reduzir risco de movimento lateral
- Implante monitoramento de driver em modo kernel e assinaturas de detecção BYOVD em soluções de proteção de endpoint
- Conduza exercícios de mesa simulando campanhas de ransomware em múltiplos estágios para testar capacidades de detecção e resposta
Fontes
Fontes
Atualizações de segurança por e-mail
Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.