Grupos de ransomware explotan Citrix Bleed 2 y credenciales de cadena de suministro
Publicado el
Grupos de ransomware y nuevas tácticas de ataque
Recientemente, se ha observado que los grupos de ransomware, como Anubis, están explotando la vulnerabilidad Citrix Bleed 2 (CVE-2025-5777) para obtener acceso inicial a las redes de las víctimas. Según un informe de Arctic Wolf, aunque las tácticas pueden variar entre los afiliados, se han identificado patrones comunes en el uso de herramientas legítimas de gestión y monitoreo remoto (RMM), junto con el acceso a credenciales y procedimientos manuales para el movimiento lateral.
Anubis, considerado un grupo de ransomware como servicio (RaaS), emergió a finales de 2024 como una rebranding del ransomware Sphinx. Este grupo fue anunciado oficialmente en el foro underground Ransomware y Advanced Malware Protection (RAMP) en febrero de 2025. Según datos de Ransomware.Live, Anubis ha reclamado 91 víctimas en su sitio de filtración de datos, con 11 de ellas reportadas solo en junio de 2026. Los sectores más afectados incluyen la salud, servicios empresariales, manufactura, tecnología y servicios financieros, siendo más del 50% de las víctimas ubicadas en EE.UU., seguidas por el Reino Unido, Australia, Francia y Canadá.
Arctic Wolf destaca que Anubis ofrece atractivas reparticiones de ganancias, otorgando a sus afiliados el 80% de las cantidades de rescate pagadas. Además, tienen un módulo de borrado de datos irreversible que incrementa la presión sobre las víctimas para que paguen. Cuando se activa el módulo /WIPEMODE de Anubis, los archivos permanecen en los directorios pero se reducen a un tamaño de 0 KB, independientemente del pago del rescate, lo que intensifica la urgencia de las víctimas.
Técnicas de intrusión y movimiento lateral
Las intrusiones de ransomware observadas este año combinan el uso de credenciales de VPN válidas y la explotación de la vulnerabilidad CVE-2025-5777, que tiene un puntaje CVSS de 9.3. Esta falla crítica afecta a Citrix NetScaler ADC y Gateway, permitiendo a un atacante eludir la autenticación cuando el dispositivo está configurado como un servidor de puerta de enlace o AAA virtual. La fuente exacta de las credenciales de VPN utilizadas en estas intrusiones es desconocida, aunque se sugiere que podrían haber sido obtenidas tras compromisos previos o mediante brokers de acceso inicial (IABs).
Además de la explotación de Citrix Bleed 2, se han observado inicios de sesión válidos de Cisco AnyConnect VPN desde varios ASN de hosting, lo que condujo a actividades de inicio de sesión relacionadas con RDP y SMB. Esto lleva al acceso a credenciales, creación de servicios PsExec, despliegue de RMM y, en última instancia, a la utilización de herramientas de transferencia en la nube para la exfiltración de datos.
El movimiento lateral se facilita a través de RDP y PsExec, lo que permite a los atacantes desplegar herramientas RMM legítimas para mantener acceso persistente, transferir archivos y ejecutar código de forma remota sin ser detectados. En algunas intrusiones, se configuran túneles de Cloudflare para acceder a los entornos de las víctimas.
Implicaciones de las técnicas de ataque
Una vez que se obtienen las credenciales necesarias, los atacantes instalan herramientas como S3 Browser, rclone, s5cmd, WinSCP y PuTTY para la transferencia o exfiltración de datos antes de desplegar el ransomware. Asimismo, se implementan tácticas para desactivar las defensas del sistema y complicar el análisis post-incidente, como la desactivación de la protección en tiempo real de Windows Defender, actividades de desinstalación de Sophos y manipulación de registros.
El informe también menciona la eliminación del cifrador de Anubis tras su ejecución, lo que reduce la disponibilidad de artefactos del payload en disco para su posterior análisis. Estos métodos subrayan la sofisticación de los ataques actuales y la necesidad de que las organizaciones refuercen sus medidas de seguridad para mitigar el riesgo de futuros compromisos.
La situación se complica aún más con el surgimiento de grupos como The Gentlemen, que utilizan técnicas de explotación de vulnerabilidades conocidas y credenciales robadas para infiltrarse en objetivos. Utilizan un backdoor basado en Go que permite la ejecución remota de comandos tras realizar un reconocimiento, movimiento lateral y evasión de defensas utilizando la técnica BYOVD (Bring Your Own Vulnerable Driver).
Con estas tácticas en evolución, es crucial que las organizaciones mantengan una vigilancia constante y actualicen sus protocolos de seguridad para protegerse de estos ataques cada vez más sofisticados.