Arctic Wolf onderzocht sinds begin 2026 meerdere incidenten waarbij de Anubis-ransomware werd ingezet. De aanvallers combineerden gestolen VPN-credentials met exploitatie van de kwetsbaarheid CitrixBleed 2 (CVE-2025-5777) en misbruikten legitieme Remote Monitoring and Management (RMM)-tools om onopgemerkt binnen te dringen en data te versleutelen.

Volgens de onderzoekers van Arctic Wolf Labs vertoont Anubis veel kenmerken die gangbaar zijn binnen Ransomware-as-a-Service (RaaS)-groepen. Het gebruikte affiliate-model omvat pogingen tot datadiefstal, het versleutelen van gegevens en een wiper-functionaliteit die op afstand kan worden ingezet. Tot eind 2024 stond deze ransomware bekend als Sphinx, waarna het in februari 2025 werd geregistreerd op het darkwebforum RAMP (Ransomware and Advanced Malware Protection). Inmiddels functioneert Anubis als een multi-platform, multi-affiliate ecosysteem met tot nu toe 83 bekende slachtoffers.

Wat opvalt in het onderzoek is het ontbreken van nieuwe, exotische malware. De affiliates vertrouwen juist op een praktische combinatie van commerciële tools, ingebouwde Windows-functionaliteiten en andere bekende gedragingen binnen IT-omgevingen. Dit gedrag lijkt op zichzelf vaak op regulier IT-beheer, waardoor het patroon pas zichtbaar wordt als de keten compleet is, meestal te laat om schade te voorkomen.

De initiële toegang verliep via twee hoofdwegen: het gebruik van geldige VPN-inloggegevens en het misbruiken van kwetsbaarheden zoals CitrixBleed 2. Deze kwetsbaarheid, geregistreerd als CVE-2025-5777, betreft een pre-authenticatielek in NetScaler-apparaten waarmee aanvallers sessietokens uit het geheugen kunnen lekken en zo multi-factor authenticatie kunnen omzeilen. Deze kwetsbaarheid werd al als zero-day misbruikt voordat Citrix het lek openbaar maakte. Daarnaast werden ook geldige Cisco AnyConnect-credentials gebruikt, afkomstig van hosting-ASN’s.

Na binnenkomst bewogen de aanvallers zich lateraal via RDP en PsExec, met als doel onder meer domain controllers, hypervisors, backupsystemen en NAS-apparaten. Opvallend was het gebruik van legitieme RMM-tools zoals ScreenConnect, Zoho Assist, MeshAgent, Remotely, UltraVNC en Total Software Deployment om blijvende toegang te verkrijgen. In een geval werd een ScreenConnect-installer gedownload van het domein azuremicrosoft[.]us, dat bewust op Microsoft-infrastructuur leek.

Voor het verkrijgen van credentials werd regelmatig Mimikatz ingezet, naast het exporteren van browserwachtwoorden en toegang tot de Active Directory-database ntds.dit. Minder dan een uur na het uitlezen van deze database startte de versleuteling van data. Bij sommige incidenten probeerden de aanvallers alternatieve uitgaande routes op te zetten met cloudflared, authenticated proxies en SSH-gebaseerde SOCKS-tunneling. Zo werd bij een Synology NAS een eigen beheerdersaccount aangemaakt en een Cloudflare Tunnel geconfigureerd, al is niet bevestigd dat deze tunnel daadwerkelijk werkte. Voor datadiefstal werden tools als S3 Browser, rclone, s5cmd, WinSCP en PuTTY gebruikt.

Arctic Wolf adviseert organisaties om CVE-2025-5777 direct te patchen en na het patchen alle actieve sessies te beëindigen. Daarnaast wordt aangeraden om RMM-installaties te auditen en bekende kwaadaardige infrastructuur zoals azuremicrosoft[.]us en promotds[.]us te blokkeren. De beste kansen om aanvallen te verstoren liggen volgens de onderzoekers vóór de versleuteling, wanneer authenticatie-anomalieën, RMM-deployment en exfiltratietooling zich rond dezelfde hosts beginnen te concentreren.