Anubis fidye yazılımı operasyonuyla ilişkili tehdit aktörleri, Citrix Bleed 2 (CVE-2025-5777) güvenlik açığını sömürerek ilk erişim elde etmeye başladı. Arctic Wolf tarafından yayınlanan rapora göre, saldırganlar meşru Uzaktan Yönetim ve İzleme (RMM) araçları olan ScreenConnect, Zoho Assist, MeshAgent gibi yazılımları kötüye kullanarak normal BT faaliyetlerine karışıp kurban sistemlerinin kontrolünü ele geçiriyor. Anubis, 2024 sonlarında Sphinx fidye yazılımının yeniden markalaşması olarak ortaya çıkan bir RaaS (hizmet olarak fidye yazılımı) grubu ve Şubat 2025'te RAMP yeraltı forumunda resmen duyuruldu.
Ransomware.Live verilerine göre, siber suç çetesi veri sızıntı sitesinde 91 kurban ilan etti ve yalnızca Haziran 2026'da 11 mağdur bildirildi. Hedef alınan sektörler arasında sağlık, iş hizmetleri, üretim, teknoloji ve finansal hizmetler öne çıkıyor. Kurbanların yüzde 50'sinden fazlası ABD'de bulunurken, onu İngiltere, Avustralya, Fransa ve Kanada takip ediyor. Rubrik Zero Labs'ın Temmuz 2025 raporuna göre, Anubis iştirakçilere fidye miktarının %80'ini teklif ederek cazip kar paylaşımı yapıyor ve geri döndürülemez veri silme özelliğiyle kurbanlar üzerindeki baskıyı artırıyor.
Saldırılarda hem geçerli VPN kimlik bilgileri kullanılıyor hem de CVSS puanı 9.3 olan CVE-2025-5777 açığı sömürülüyor. Arctic Wolf, AS20473 ve AS55286 gibi barındırma ağlarından gelen geçerli Cisco AnyConnect VPN girişlerinin gözlemlendiğini belirtti. Yanal hareket için RDP ve PsExec kullanılırken, kalıcı erişim için Cloudflare Tunnel (cloudflared) yapılandırılıyor. Saldırganlar, veri sızdırma için S3 Browser, rclone, WinSCP gibi araçlar kuruyor ve Windows Defender'ı devre dışı bırakma, Sophos kaldırma, PCHunter kullanma gibi savunma önlemlerini aşıyor.
Detaylar ve Etkileri
Kaspersky'nin raporuna göre, The Gentlemen RaaS grubu da kendi zafiyetli sürücünü getir (BYOVD) tekniğini kullanarak çekirdek seviyesinde erişim elde ediyor ve Microsoft, ESET, Palo Alto Networks gibi güvenlik yazılımlarını devre dışı bırakıyor. Expel'in tespitine göre, ktapi.sys adlı Kontron API sürücüsündeki bir sıfırıncı gün açığı silah haline getirilmiş durumda. BYOVD saldırıları, kurumsal güvenlik sistemlerini saniyeler içinde etkisiz hale getirebiliyor ve tedarik zinciri güvenliğini tehdit ediyor.