← Voltar ao blog

Grupos de Ransomware Exploram Citrix Bleed 2 e Táticas BYOVD para Acesso Empresarial

Operadores de ransomware Anubis estão aproveitando a vulnerabilidade Citrix Bleed 2 (CVE-2025-5777) combinada com ferramentas RMM legítimas e credenciais da cadeia de suprimentos para invadir redes empresariais. Equipes de segurança devem priorizar correção de patches e monitoramento desses vetores de ataque convergentes.

TL;DR

  • Afiliados de ransomware Anubis exploram ativamente Citrix Bleed 2 (CVE-2025-5777) para acesso inicial à rede
  • Atores de ameaça abusam de ferramentas legítimas de Gerenciamento e Monitoramento Remoto (RMM) para evadir detecção durante movimento lateral
  • Roubo de credenciais da cadeia de suprimentos e técnicas Bring-Your-Own-Vulnerable-Driver (BYOVD) permitem escalação de privilégios
  • Operações hands-on-keyboard indicam fluxos de trabalho pós-exploração sofisticados e manuais direcionados a ativos de alto valor

Atores de ameaça afiliados à operação de ransomware Anubis foram observados explorando sistematicamente a vulnerabilidade Citrix Bleed 2 para estabelecer pontos de apoio iniciais em ambientes empresariais. Esta campanha demonstra uma mudança coordenada em direção à combinação de vulnerabilidades conhecidas com ferramentas legítimas de administração de sistemas para contornar controles de segurança tradicionais.

A cadeia de ataque reflete um modelo operacional maduro onde múltiplas técnicas convergem: exploração de vulnerabilidades para entrada, coleta de credenciais de parceiros da cadeia de suprimentos e abuso de plataformas RMM confiáveis para persistência e movimento lateral. Esta abordagem em camadas aumenta significativamente a dificuldade de detecção e resposta para equipes de segurança.

Cadeia de Ataque: De Citrix Bleed 2 ao Movimento Lateral

  • CVE-2025-5777 (Citrix Bleed 2) serve como o vetor de acesso inicial primário para afiliados Anubis
  • Ferramentas RMM legítimas (TeamViewer, AnyDesk, ConnectWise) são reutilizadas pós-comprometimento para manter persistência
  • Operações hands-on-keyboard permitem reconhecimento manual e movimento lateral direcionado dentro de redes
  • Credenciais da cadeia de suprimentos obtidas através de brechas anteriores ou phishing são aproveitadas para acessar sistemas de parceiros

Táticas de Escalação de Privilégios e Evasão

  • Exploits Bring-Your-Own-Vulnerable-Driver (BYOVD) permitem escalação de privilégios em nível de kernel enquanto contornam soluções EDR
  • O uso de ferramentas administrativas legítimas reduz anomalias comportamentais e diminui taxas de detecção
  • Técnicas de acesso a credenciais visam tanto funcionários diretos quanto fornecedores terceirizados com acesso à rede
  • Variação de afiliados em tradecraft sugere um modelo operacional flexível adaptado a ambientes específicos do alvo

Recomendações Defensivas para Equipes de Segurança

  • Priorize a correção de patches em sistemas Citrix; implemente segmentação de rede para limitar exposição do Citrix
  • Monitore e restrinja o uso de ferramentas RMM; implante whitelisting de aplicações e análise comportamental para processos RMM
  • Implemente programas de higiene de credenciais e revisões de acesso da cadeia de suprimentos para reduzir risco de movimento lateral
  • Implante monitoramento de driver em modo kernel e assinaturas de detecção BYOVD em soluções de proteção de endpoint
  • Conduza exercícios de mesa simulando campanhas de ransomware em múltiplos estágios para testar capacidades de detecção e resposta

Fontes

Fontes

Atualizações de segurança por e-mail

Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.

Grupos de Ransomware Exploram Citrix Bleed 2 e Táticas BYOVD para Acesso Empresarial — Agent Breach Blog | Agent Breach