Ransomware-groep Anubis rukt op via Citrix-lek
De ransomware-groep achter de 'Anubis'-malware heeft zich in recordtempo ontwikkeld tot een professioneel en strak gestructureerd cybercrimineel ecosysteem. Het netwerk maakt gebruik van agressieve marketing op ondergrondse hackersfora en exploiteert actief kwetsbaarheden in bedrijfsnetwerken, waaronder het recente 'CitrixBleed 2'-lek. Uit recent onderzoek blijkt dat de groep tussen februari 2025 en juni 2026 al zeker 83 slachtoffers heeft gemaakt.
Beveiligingsonderzoekers van Mallory hebben verschillende losse puzzelstukken – waaronder gelekte datasites, Tor-infrastructuur, accounts op hackersfora en het terugkerende personage "Anubis Media" – weten te koppelen aan één gecentraliseerde organisatie. De groep profileert zich openlijk op populaire ondergrondse communities zoals XSS, BreachForums, ReHub en RAMP, en schuwt zelfs reguliere socialmediakanalen zoals X (voorheen Twitter) niet om affiliates (partner-hackers) te ronselen en gestolen data te promoten.
Wereldwijd bereik en brede inzetbaarheid
Anubis richt zich specifiek op lucratieve doelwitten en zoekt actief naar toegang tot bedrijfsnetwerken in de Verenigde Staten, Canada, Europa en Australië. De groep opereert via een zogeheten Ransomware-as-a-Service (RaaS) model, waarbij de kernorganisatie de gijzelsoftware ontwikkelt en de winst deelt met de hackers die de netwerken binnendringen.
Opmerkelijk is de brede technische inzetbaarheid van de software. Anubis adverteert met ondersteuning voor vrijwel alle gangbare bedrijfsomgevingen, waaronder:
Windows en Linux systemen
NAS-netwerkopslag apparaten
VMware ESXi virtuele omgevingen
De malware beschikt over geavanceerde functies zoals automatische escalatie van beheerdersrechten (privilege escalation), het verwijderen van back-ups (shadow copy removal) en het netwerkbreed uitrollen van de gijzelsoftware via verschillende versleutelingsmethoden.
De aanvalsmethode: Citrix-lek en legitieme software
Incidentrapportages van recente aanvallen laten zien hoe de aan Anubis gelieerde hackers te werk gaan. Toegang tot netwerken wordt doorgaans verkregen via gestolen VPN-inloggegevens of door het actief misbruiken van CitrixBleed 2 (CVE-2025-5777), een ernstig beveiligingslek in Citrix NetScaler-appliances.
Eenmaal binnen de muren van een organisatie hanteren de aanvallers een slimme tactiek: ze installeren legitieme, veelgebruikte software voor systeembeheer (zoals ScreenConnect, Zoho Assist, MeshAgent en UltraVNC). Hierdoor valt hun aanwezigheid niet op in de logboeken van de systeembeheerders, omdat de tools er normaal uitzien.
Tactiek van de aanvallers: Door legitieme beheerprogramma's te gebruiken, 'smelten' de hackers samen met het dagelijkse IT-beheer. Vervolgens bewegen ze zich zijwaarts door het netwerk en stelen ze wachtwoorden uit browsers en centrale databases.
Data-exfiltratie en achterdeurtjes
Voordat de ransomware wordt geactiveerd en de systemen op slot gaan, sluizen de aanvallers gigantische hoeveelheden gevoelige bedrijfsdata weg. Dit gebeurt met datatransport-tools zoals rclone en WinSCP. Deze data wordt vervolgens gebruikt als extra chantagemiddel: als het slachtoffer niet betaalt voor de ontsleuteling, dreigt Anubis de data openbaar te maken op hun leksite.
Om er zeker van te zijn dat ze de controle niet verliezen, bouwen de cybercriminelen op verschillende manieren 'achterdeurtjes' in het netwerk in, onder andere via Synology NAS-systemen en gecodeerde SSH-tunnels. Zelfs als een bedrijf de eerste aanval ontdekt en blokkeert, behouden de hackers zo vaak een reservetoegang tot het netwerk.