Anubis-ransomware misbruikt CitrixBleed 2 en RMM-tools
In dit artikel:
Onderzoekers van Arctic Wolf hebben sinds begin 2026 meerdere aanvallen met de Anubis-ransomware gevolgd, waarbij vooral werd gekeken naar hoe aanvallers organisaties binnendrongen en zich daarna onopvallend door netwerken bewogen. De groep gebruikte volgens de analyse geen opvallend nieuwe malware, maar een slimme combinatie van gestolen VPN-inloggegevens, misbruik van CitrixBleed 2 (CVE-2025-5777) en legitieme beheerprogramma’s zoals ScreenConnect, Zoho Assist en MeshAgent om langdurig toegang te houden.
Anubis, dat tot eind 2024 nog Sphinx heette en in februari 2025 op een darkweb-forum werd aangeboden, is inmiddels uitgegroeid tot een ransomware-ecosysteem met meerdere affiliates. Arctic Wolf schat dat de groep al 83 slachtoffers heeft gemaakt. De aanvallers leunen op een gangbaar RaaS-model: eerst data stelen, daarna versleutelen, en in sommige gevallen ook een wiper-functie inzetten om herstel verder te bemoeilijken.
De inbraken begonnen meestal via twee routes: geldige VPN-accounts of een kwetsbaarheid in NetScaler-apparaten waarmee sessietokens konden worden buitgemaakt en MFA kon worden omzeild. Daarna bewogen de aanvallers zich via RDP en PsExec verder richting domeincontrollers, back-ups, hypervisors en NAS-systemen. Voor het verzamelen van wachtwoorden en domeingegevens gebruikten ze onder meer Mimikatz en Active Directory-dumps; kort daarna volgde de versleuteling.
Opvallend is dat veel van hun activiteiten op normaal IT-beheer lijken zolang je ze los bekijkt. Pas het totaalplaatje verraadt een aanval. Arctic Wolf adviseert daarom om CVE-2025-5777 direct te patchen, sessies na het herstellen te beëindigen en RMM-gebruik streng te controleren, omdat de beste kans om ingrijpen nog te stoppen ligt vóórdat de ransomware wordt geactiveerd.
Het Oranje Café: Maurice Steijn: 'Ik kan me bijna niet voorstellen dat hij bondscoach van Oranje wordt'