Arctic Wolf onderzocht sinds begin 2026 meerdere inbraken uitgevoerd met de Anubis-ransomware. De aanvallers combineerden gestolen VPN-inloggegevens en exploitatie van CitrixBleed 2 (CVE-2025-5777) met misbruik van legitieme RMM-tools. Zo bleven ze onder de radar tot ze data versleutelden.
Veel kenmerken van Anubis zijn gemeengoed onder Ransomware-as-a-Service (RaaS)-groepen. De onderzoekers van Arctic Wolf Labs omschrijven een gebruikelijk affiliate-model, (poging tot) datadiefstal, versleuteling van deze gegevens en een wiper-functionaliteit op afstand.
Tot eind 2024 stond Anubis bekend als Sphinx. In februari 2025 werd Anubis geregistreerd op het RAMP (Ransomware and Advanced Malware Protection)-forum op de darkweb. Inmiddels is Anubis een “multi-platform, multi-affiliate ecosysteem”, aldus de onderzoekers. Er zouden tot nu toe 83 slachtoffers zijn geweest.
Wat opvalt aan het onderzoek is dat er geen sprake is van nieuwe, exotische malware. De affiliates leunen juist op een praktische mix van commerciële tools, ingebouwde Windows-functionaliteit en andere bekende uitingen van ‘regulier’ gedrag binnen getroffen IT-omgevingen. In isolatie lijkt veel van dat gedrag op regulier IT-beheer. Pas als keten wordt het patroon zichtbaar, maar dan is het veelal al te laat.
Twee routes naar binnen
De initiële toegang viel volgens Arctic Wolf uiteen in twee categorieën: het gebruik van geldige VPN-inloggegevens en het misbruiken van kwetsbaarheden zoals CitrixBleed 2. Die laatste, geregistreerd als CVE-2025-5777, is een pre-authentication kwetsbaarheid in NetScaler-apparaten. Ze stelt aanvallers in staat sessietokens uit het geheugen te lekken en zo multi-factor authenticatie (MFA) te omzeilen.
We berichtten medio 2025 al dat de fout eenvoudig te misbruiken was via ogenschijnlijk simpele loginverzoeken. Later bleek de kwetsbaarheid ook al als zero-day te zijn uitgebuit voordat Citrix het lek publiek maakte. Naast Citrix-exploitatie zag Arctic Wolf ook geldige Cisco AnyConnect-logins vanaf hosting-ASN’s.
Verstoppen tussen beheersoftware
Na binnenkomst bewogen de aanvallers lateraal via RDP en PsExec, met domain controllers, hypervisors, backupsystemen en NAS-apparaten als doelwit. Het meest opvallende patroon is het inzetten van legitieme RMM-tools om toegang blijvend te verkrijgen. Denk aan ScreenConnect, Zoho Assist, MeshAgent, Remotely, UltraVNC en Total Software Deployment.
Een ScreenConnect-installer werd in één geval gedownload van het domein azuremicrosoft[.]us, dat opzettelijk op Microsoft-infrastructuur leek. Voor credential access dook regelmatig Mimikatz op, naast exports van browserwachtwoorden en toegang tot de Active Directory-database ntds.dit. Minder dan een uur na het uitlezen van die database begon de versleuteling.
Tunnels en exfiltratie
In sommige inbraken probeerden de aanvallers alternatieve uitgaande routes op te zetten met cloudflared, authenticated proxies en SSH-gebaseerde SOCKS-tunneling. Bij een Synology NAS maakten ze een eigen beheerdersaccount aan en configureerden ze een Cloudflare Tunnel, al bevestigen de logs niet dat die tunnel daadwerkelijk werkte. Voor exfiltratie kwamen tools als S3 Browser, rclone, s5cmd, WinSCP en PuTTY langs.
Arctic Wolf raadt organisaties vanzelfsprekend aan om CVE-2025-5777 direct te patchen en na het patchen alle actieve sessies te beëindigen. Daarnaast raadt het bedrijf aan RMM-installaties te auditen en bekende kwaadaardige infrastructuur zoals azuremicrosoft[.]us en promotds[.]us te blokkeren. Volgens de onderzoekers liggen de beste kansen op verstoring vóór de versleuteling, wanneer authenticatie-anomalieën, RMM-deployment en exfiltratietooling zich rond dezelfde hosts beginnen te clusteren.